Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Referensi kontrol untuk Security Hub CSPM
<a name="securityhub-controls-reference"></a>

Referensi kontrol ini menyediakan tabel kontrol CSPM AWS Security Hub yang tersedia dengan tautan ke informasi lebih lanjut tentang setiap kontrol. Dalam tabel, kontrol tercantum dalam urutan abjad berdasarkan ID kontrol. Hanya kontrol dalam penggunaan aktif oleh Security Hub CSPM yang disertakan di sini. Kontrol pensiun dikecualikan dari tabel.

Tabel memberikan informasi berikut untuk setiap kontrol:
+ **ID kontrol keamanan** — ID ini berlaku di seluruh standar dan menunjukkan Layanan AWS dan sumber daya yang terkait dengan kontrol. Konsol CSPM Security Hub menampilkan kontrol keamanan IDs, terlepas dari apakah [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings) diaktifkan atau dimatikan di akun Anda. Namun, temuan CSPM Security Hub IDs hanya mengacu pada kontrol keamanan jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa kontrol IDs bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs [Bagaimana konsolidasi berdampak pada kontrol IDs dan judul](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Jika Anda ingin mengatur [otomatisasi](automations.md) untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sementara Security Hub CSPM kadang-kadang dapat memperbarui judul kontrol atau deskripsi, kontrol IDs tetap sama.

  Kontrol IDs dapat melewati angka. Ini adalah placeholder untuk kontrol masa depan.
+ **Judul kontrol keamanan** - Judul ini berlaku di seluruh standar. Konsol CSPM Security Hub menampilkan judul kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan CSPM Security Hub merujuk judul kontrol keamanan hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa judul kontrol bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs [Bagaimana konsolidasi berdampak pada kontrol IDs dan judul](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Standar yang berlaku** - Menunjukkan standar mana yang berlaku untuk kontrol. Pilih kontrol untuk meninjau persyaratan spesifik dari kerangka kerja kepatuhan pihak ketiga.
+ **Keparahan** — Tingkat keparahan kontrol mengidentifikasi pentingnya dari sudut pandang keamanan. Untuk informasi tentang cara CSPM Security Hub menentukan tingkat keparahan kontrol, lihat. [Tingkat keparahan untuk temuan kontrol](controls-findings-create-update.md#control-findings-severity)
+ **Mendukung parameter kustom** - Menunjukkan apakah kontrol mendukung nilai kustom untuk satu atau beberapa parameter. Pilih kontrol untuk meninjau detail parameter. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).
+ **Jenis jadwal** - Menunjukkan kapan kontrol dievaluasi. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Pilih kontrol untuk meninjau detail tambahan. Kontrol tercantum dalam urutan abjad oleh ID kontrol keamanan.


| ID kontrol keamanan | Judul kontrol keamanan | Standar yang berlaku | Kepelikan | Mendukung parameter khusus | Jenis jadwal | 
| --- | --- | --- | --- | --- | --- | 
| [Akun.1](account-controls.md#account-1)  | Informasi kontak keamanan harus disediakan untuk Akun AWS  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  | MEDIUM  | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala  | 
|  [Akun.2](account-controls.md#account-2)  |  Akun AWS harus menjadi bagian dari sebuah AWS Organizations organisasi  |  NIST SP 800-53 Wahyu 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Sertifikat yang diimpor dan diterbitkan ACM harus diperpanjang setelah jangka waktu tertentu  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu dan periodik  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ACM.3](acm-controls.md#acm-3)  | Sertifikat ACM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Aplikasi Amplify harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Amplify branch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [APIGateway.1](apigateway-controls.md#apigateway-1)  |  API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  API Gateway harus dikaitkan dengan WAF Web ACL  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.5](apigateway-controls.md#apigateway-5)  |  Data cache API Gateway REST API harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.8](apigateway-controls.md#apigateway-8)  |  Rute API Gateway harus menentukan jenis otorisasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [APIGateway.9](apigateway-controls.md#apigateway-9)  |  Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AppConfig.1](appconfig-controls.md#appconfig-1)  | AWS AppConfig aplikasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig profil konfigurasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig lingkungan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig asosiasi ekstensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppFlow.1](appflow-controls.md#appflow-1)  |  AppFlow Aliran Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppRunner.1](apprunner-controls.md#apprunner-1)  | Layanan App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | Konektor VPC App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync harus mengaktifkan logging tingkat lapangan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync APIs GraphQL harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppSync.5](appsync-controls.md#appsync-5)  |  AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Athena.2](athena-controls.md#athena-2)  | Katalog data Athena harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Athena.3](athena-controls.md#athena-3)  | Kelompok kerja Athena harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Athena.4](athena-controls.md#athena-4)  | Kelompok kerja Athena seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [AutoScaling.1](autoscaling-controls.md#autoscaling-1)  | Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi instans EC2 agar memerlukan Layanan Metadata Instans Versi 2 () IMDSv2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Instans Amazon EC2 yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.9](autoscaling-controls.md#autoscaling-9)  |  Grup EC2 Auto Scaling harus menggunakan templat peluncuran EC2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | Grup EC2 Auto Scaling harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup titik pemulihan harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup poin pemulihan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.3](backup-controls.md#backup-3)  | AWS Backup brankas harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.4](backup-controls.md#backup-4)  | AWS Backup rencana laporan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.5](backup-controls.md#backup-5)  | AWS Backup rencana cadangan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.1](batch-controls.md#batch-1)  | Antrian pekerjaan batch harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.2](batch-controls.md#batch-2)  | Kebijakan penjadwalan Batch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.3](batch-controls.md#batch-3)  | Lingkungan komputasi Batch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.4](batch-controls.md#batch-4)  | Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation tumpukan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation tumpukan harus mengaktifkan perlindungan terminasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation tumpukan harus memiliki peran layanan terkait | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.1](cloudfront-controls.md#cloudfront-1)  | CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront distribusi harus memerlukan enkripsi dalam perjalanan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront distribusi harus memiliki failover asal yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.5](cloudfront-controls.md#cloudfront-5)  |  CloudFront distribusi harus mengaktifkan logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront distribusi harus mengaktifkan WAF  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.7](cloudfront-controls.md#cloudfront-7)  |  CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | RENDAH |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.8](cloudfront-controls.md#cloudfront-8)  |  CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.9](cloudfront-controls.md#cloudfront-9)  |  CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.12](cloudfront-controls.md#cloudfront-12)  |  CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudFront.13](cloudfront-controls.md#cloudfront-13)  |  CloudFront distribusi harus menggunakan kontrol akses asal  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.14](cloudfront-controls.md#cloudfront-14)  | CloudFront Distribusi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.16](cloudfront-controls.md#cloudfront-16)  | CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.17](cloudfront-controls.md#cloudfront-17)  | CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudTrail.1](cloudtrail-controls.md#cloudtrail-1)  | CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5 AWS  | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail harus mengaktifkan enkripsi saat istirahat  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0 Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | Setidaknya satu CloudTrail jejak harus diaktifkan | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail validasi file log harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch  | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik  |  Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu dan periodik  | 
|  [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7)  |  Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 AWS AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail jalan setapak harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Penyimpanan data acara danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [CloudWatch.1](cloudwatch-controls.md#cloudwatch-1)  |  Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  Pastikan ada filter metrik log dan alarm untuk login Management Console tanpa MFA  | Tolok Ukur AWS Yayasan CIS v1.2.0  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5)  |  Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7)  |  Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8)  |  Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9)  |  Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  Pastikan filter metrik log dan alarm ada untuk perubahan VPC  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi  | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch grup log harus dipertahankan untuk jangka waktu tertentu  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch tindakan alarm harus diaktifkan  |  NIST SP 800-53 Wahyu 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeArtifact.1](codeartifact-controls.md#codeartifact-1)  | CodeArtifact repositori harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CodeBuild.1](codebuild-controls.md#codebuild-1)  | CodeBuild Repositori sumber Bitbucket tidak URLs boleh berisi kredensyal sensitif | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild variabel lingkungan proyek tidak boleh berisi kredensyal teks yang jelas  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild Log S3 harus dienkripsi  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild lingkungan proyek harus memiliki konfigurasi logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.7](codebuild-controls.md#codebuild-7)  | CodeBuild ekspor kelompok laporan harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CodeGuruProfiler.1](codeguruprofiler-controls.md#codeguruprofiler-1)  | CodeGuru Grup profil profiler harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CodeGuruReviewer.1](codegurureviewer-controls.md#codegurureviewer-1)  | CodeGuru Asosiasi repositori reviewer harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.1](cognito-controls.md#cognito-1)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.2](cognito-controls.md#cognito-2)  | Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.3](cognito-controls.md#cognito-3)  | Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.4](cognito-controls.md#cognito-4)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.5](cognito-controls.md#cognito-5)  | MFA harus diaktifkan untuk kumpulan pengguna Cognito | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.6](cognito-controls.md#cognito-6)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Konfigurasi.1](config-controls.md#config-1)  | AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1 AWS  | KRITIS | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [Hubungkan.1](connect-controls.md#connect-1)  | Jenis objek Amazon Connect Customer Profiles harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Hubungkan.2](connect-controls.md#connect-2)  | Instans Amazon Connect seharusnya mengaktifkan CloudWatch logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DataFirehose.1](datafirehose-controls.md#datafirehose-1)  | Aliran pengiriman Firehose harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [DataSync.1](datasync-controls.md#datasync-1)  | DataSync tugas harus mengaktifkan pencatatan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync tugas harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Detektif.1](detective-controls.md#detective-1)  | Grafik perilaku Detektif harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.1](dms-controls.md#dms-1)  |  Contoh replikasi Database Migration Service tidak boleh bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [DMS.2](dms-controls.md#dms-2)  | Sertifikat DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.3](dms-controls.md#dms-3)  | Langganan acara DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.4](dms-controls.md#dms-4)  | Instans replikasi DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.5](dms-controls.md#dms-5)  | Grup subnet replikasi DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.6](dms-controls.md#dms-6)  |  Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Tugas replikasi DMS untuk database target harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Tugas replikasi DMS untuk database sumber harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Titik akhir DMS harus menggunakan SSL  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.10](dms-controls.md#dms-10)  | Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.11](dms-controls.md#dms-11)  | Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.12](dms-controls.md#dms-12)  | Titik akhir DMS untuk Redis OSS harus mengaktifkan TLS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.13](dms-controls.md#dms-13)  | Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DokumenDB.1](documentdb-controls.md#documentdb-1)  |  Cluster Amazon DocumentDB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.2](documentdb-controls.md#documentdb-2)  |  Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [DokumenDB.3](documentdb-controls.md#documentdb-3)  |  Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.4](documentdb-controls.md#documentdb-4)  |  Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.5](documentdb-controls.md#documentdb-5)  |  Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.6](documentdb-controls.md#documentdb-6)  | Cluster Amazon DocumentDB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  Tabel DynamoDB harus mengaktifkan pemulihan point-in-time  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  Tabel DynamoDB harus ada dalam rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | Tabel DynamoDB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DynamoDb.6](dynamodb-controls.md#dynamodb-6)  |  Tabel DynamoDB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DynamoDb.7](dynamodb-controls.md#dynamodb-7)  | Cluster DynamoDB Accelerator harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Snapshot EBS tidak boleh dipulihkan secara publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Volume EBS yang terpasang harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  Pencatatan aliran VPC harus diaktifkan di semua VPCs  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  Enkripsi default EBS harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Tolok Ukur Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  Instans EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  Instans EC2 seharusnya tidak memiliki alamat publik IPv4  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  EC2 yang tidak digunakan EIPs harus dihapus  |  PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Wahyu 2 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.14](ec2-controls.md#ec2-14)  | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  Subnet EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  Instans EC2 tidak boleh menggunakan banyak ENIs  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Grup keamanan EC2 yang tidak digunakan harus dihapus |   | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  Jenis instance paravirtual EC2 tidak boleh digunakan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  Template peluncuran EC2 tidak boleh menetapkan publik IPs ke antarmuka jaringan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  Volume EBS harus dalam rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | Lampiran gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.34](ec2-controls.md#ec2-34)  | Tabel rute gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.35](ec2-controls.md#ec2-35)  | Antarmuka jaringan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.36](ec2-controls.md#ec2-36)  | Gateway pelanggan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Alamat IP Elastis EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.38](ec2-controls.md#ec2-38)  | Instans EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.39](ec2-controls.md#ec2-39)  | Gerbang internet EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.40](ec2-controls.md#ec2-40)  | Gerbang EC2 NAT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.41](ec2-controls.md#ec2-41)  | Jaringan EC2 ACLs harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.42](ec2-controls.md#ec2-42)  | Tabel rute EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.43](ec2-controls.md#ec2-43)  | Grup keamanan EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.44](ec2-controls.md#ec2-44)  | Subnet EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.45](ec2-controls.md#ec2-45)  | Volume EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Layanan endpoint Amazon VPC harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Log aliran VPC Amazon harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Koneksi peering VPC Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.50](ec2-controls.md#ec2-50)  | Gateway EC2 VPN harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | Gerbang transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.53](ec2-controls.md#ec2-53)  | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.54](ec2-controls.md#ec2-54)  | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.170](ec2-controls.md#ec2-170)  | Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2 | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Koneksi EC2 VPN seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.172](ec2-controls.md#ec2-172)  | Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.174](ec2-controls.md#ec2-174)  | Set opsi EC2 DHCP harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.175](ec2-controls.md#ec2-175)  | Template peluncuran EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.176](ec2-controls.md#ec2-176)  | Daftar awalan EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.177](ec2-controls.md#ec2-177)  | Sesi cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.178](ec2-controls.md#ec2-178)  | Filter cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.179](ec2-controls.md#ec2-179)  | Target cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.180](ec2-controls.md#ec2-180)  | Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination  | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.181](ec2-controls.md#ec2-181)  | Template peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.182](ec2-controls.md#ec2-182)  | Snapshot EBS seharusnya tidak dapat diakses publik | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Repositori publik ECR harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  Definisi tugas ECS tidak boleh berbagi namespace proses host  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  Kontainer ECS harus berjalan sebagai non-hak istimewa  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  Kontainer ECS harus dibatasi pada akses hanya-baca ke sistem file root  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  Definisi tugas ECS harus memiliki konfigurasi logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  Cluster ECS harus menggunakan Wawasan Kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | Layanan ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.14](ecs-controls.md#ecs-14)  | Cluster ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.15](ecs-controls.md#ecs-15)  | Definisi tugas ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.16](ecs-controls.md#ecs-16)  | Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.17](ecs-controls.md#ecs-17)  | Definisi tugas ECS tidak boleh menggunakan mode jaringan host | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.18](ecs-controls.md#ecs-18)  | Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.19](ecs-controls.md#ecs-19)  | Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.20](ecs-controls.md#ecs-20)  | Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.21](ecs-controls.md#ecs-21)  | Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EFS.1](efs-controls.md#efs-1)  |  Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Volume Amazon EFS harus ada dalam paket cadangan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EFS.3](efs-controls.md#efs-3)  |  Titik akses EFS harus menerapkan direktori root  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EFS.4](efs-controls.md#efs-4)  |  Titik akses EFS harus menegakkan identitas pengguna  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EFS.5](efs-controls.md#efs-5)  | Titik akses EFS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EFS.6](efs-controls.md#efs-6)  | Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat peluncuran | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EFS.7](efs-controls.md#efs-7)  | Sistem file EFS harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EFS.8](efs-controls.md#efs-8)  | Sistem file EFS harus dienkripsi saat istirahat | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan Dasar AWS  | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.1](eks-controls.md#eks-1)  |  Titik akhir kluster EKS tidak boleh diakses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EKS.2](eks-controls.md#eks-2)  |  Kluster EKS harus berjalan pada versi Kubernetes yang didukung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EKS.3](eks-controls.md#eks-3)  | Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EKS.6](eks-controls.md#eks-6)  | Kluster EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.7](eks-controls.md#eks-7)  | Konfigurasi penyedia identitas EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.8](eks-controls.md#eks-8)  |  Kluster EKS harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ElastiCache.1](elasticache-controls.md#elasticache-1)  | ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache grup replikasi harus mengaktifkan failover otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache kelompok replikasi harus encrypted-at-rest |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.5](elasticache-controls.md#elasticache-5)  | ElastiCache kelompok replikasi harus encrypted-in-transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.7](elasticache-controls.md#elasticache-7)  | ElastiCache cluster tidak boleh menggunakan grup subnet default |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElasticBeanstalk.1](elasticbeanstalk-controls.md#elasticbeanstalk-1)  |  Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk harus mengalirkan log ke CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.5](elb-controls.md#elb-5)  |  Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.6](elb-controls.md#elb-6)  | Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ELB.7](elb-controls.md#elb-7)  |  Classic Load Balancers harus mengaktifkan pengurasan koneksi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  | RENDAH |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki konfigurasi yang kuat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer harus menjangkau beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus menjangkau beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Application Load Balancers harus dikaitkan dengan ACL web AWS WAF  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.17](elb-controls.md#elb-17)  | Aplikasi dan Network Load Balancer dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.18](elb-controls.md#elb-18)  | Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ELB.21](elb-controls.md#elb-21)  |  Grup sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.22](elb-controls.md#elb-22)  |  Kelompok target ELB harus menggunakan protokol transport terenkripsi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EMR.1](emr-controls.md#emr-1)  | Node primer klaster EMR Amazon seharusnya tidak memiliki alamat IP publik | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EMR.2](emr-controls.md#emr-2)  | Amazon EMR memblokir pengaturan akses publik harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EMR.3](emr-controls.md#emr-3)  | Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EMR.4](emr-controls.md#emr-4)  | Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ES.1](es-controls.md#es-1)  |  Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ES.2](es-controls.md#es-2)  |  Domain Elasticsearch tidak boleh diakses publik  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ES.3](es-controls.md#es-3)  |  Domain Elasticsearch harus mengenkripsi data yang dikirim antar node  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.4](es-controls.md#es-4)  |  Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.5](es-controls.md#es-5)  |  Domain Elasticsearch harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.6](es-controls.md#es-6)  |  Domain Elasticsearch harus memiliki setidaknya tiga node data  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.7](es-controls.md#es-7)  |  Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.8](es-controls.md#es-8)  | Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ES.9](es-controls.md#es-9)  | Domain Elasticsearch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | EventBridge bus acara harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  EventBridge bus acara khusus harus memiliki kebijakan berbasis sumber daya terlampir  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge titik akhir global harus mengaktifkan replikasi acara  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [FraudDetector.1](frauddetector-controls.md#frauddetector-1)  | Jenis entitas Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | Label Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | Hasil Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | Variabel Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FSx.1](fsx-controls.md#fsx-1)  |  FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke backup dan volume  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke backup | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [FSx.5](fsx-controls.md#fsx-5)  | FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Lem. 1](glue-controls.md#glue-1)  | AWS Glue pekerjaan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Lem.3](glue-controls.md#glue-3)  | AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Lem.4](glue-controls.md#glue-4)  | AWS Glue Pekerjaan percikan harus berjalan pada versi yang didukung AWS Glue | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [GlobalAccelerator.1](globalaccelerator-controls.md#globalaccelerator-1)  | Akselerator Global Accelerator harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.1](guardduty-controls.md#guardduty-1)  |  GuardDuty harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty filter harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty detektor harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.5](guardduty-controls.md#guardduty-5)  | GuardDuty Pemantauan Log Audit EKS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | GuardDuty Perlindungan Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | GuardDuty EKS Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | GuardDuty Perlindungan Malware untuk EC2 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.9](guardduty-controls.md#guardduty-9)  | GuardDuty Perlindungan RDS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty Perlindungan S3 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.11](guardduty-controls.md#guardduty-11)  | GuardDuty Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.12](guardduty-controls.md#guardduty-12)  | GuardDuty ECS Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | GuardDuty EC2 Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IAM.1](iam-controls.md#iam-1)  |  Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh  | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI AWS DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v4.0.1 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.4](iam-controls.md#iam-4)  |  Kunci akses pengguna root IAM seharusnya tidak ada  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, AWS NIST SP 800-53 Rev. 5 AWS  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v4.0.1 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.6](iam-controls.md#iam-6)  |  MFA perangkat keras harus diaktifkan untuk pengguna root  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Kredensyal pengguna IAM yang tidak digunakan harus dihapus  | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.9](iam-controls.md#iam-9)  |  MFA harus diaktifkan untuk pengguna root  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, AWS PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.10](iam-controls.md#iam-10)  |  Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat  | NIST SP 800-171 Wahyu 2, PCI DSS v3.2.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf besar  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf kecil  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu simbol  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang  | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.19](iam-controls.md#iam-19)  |  MFA harus diaktifkan untuk semua pengguna IAM  | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Kebijakan terkelola pelanggan IAM yang Anda buat tidak boleh mengizinkan tindakan wildcard untuk layanan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.22](iam-controls.md#iam-22)  |  Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.23](iam-controls.md#iam-23)  | Alat analisis IAM Access Analyzer harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.24](iam-controls.md#iam-24)  | Peran IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.25](iam-controls.md#iam-25)  | Pengguna IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.26](iam-controls.md#iam-26) |  SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IAM.27](iam-controls.md#iam-27)  | Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [IAM.28](iam-controls.md#iam-28)  | IAM Access Analyzer penganalisis akses eksternal harus diaktifkan | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.1](inspector-controls.md#inspector-1)  | Pemindaian Amazon Inspector EC2 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.2](inspector-controls.md#inspector-2)  | Pemindaian ECR Amazon Inspector harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.3](inspector-controls.md#inspector-3)  | Pemindaian kode Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.4](inspector-controls.md#inspector-4)  | Pemindaian standar Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender profil keamanan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core tindakan mitigasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core dimensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core pemberi otorisasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core alias peran harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core kebijakan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .1](iotevents-controls.md#iotevents-1)  | AWS IoT Events input harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .2](iotevents-controls.md#iotevents-2)  | AWS IoT Events model detektor harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .3](iotevents-controls.md#iotevents-3)  | AWS IoT Events model alarm harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise model aset harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise dasbor harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise gateway harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise portal harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise proyek harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io. 1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS Pekerjaan TwinMaker sinkronisasi IoT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io. 2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker Ruang kerja IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker Adegan IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker Entitas IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .1](iotwireless-controls.md#iotwireless-1)  | AWS Grup multicast Nirkabel IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .2](iotwireless-controls.md#iotwireless-2)  | AWS Profil layanan IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .3](iotwireless-controls.md#iotwireless-3)  | AWS Tugas FUOTA IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Pasangan kunci pemutaran IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.2](ivs-controls.md#ivs-2)  | Konfigurasi perekaman IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.3](ivs-controls.md#ivs-3)  | Saluran IVS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Ruang kunci.1](keyspaces-controls.md#keyspaces-1)  | Ruang kunci Amazon Keyspaces harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Aliran Kinesis harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Aliran Kinesis harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Aliran Kinesis harus memiliki periode retensi data yang memadai | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [KMS.1](kms-controls.md#kms-1)  |  Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.2](kms-controls.md#kms-2)  |  Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys tidak boleh dihapus secara tidak sengaja  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key rotasi harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, AWS PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [KMS.5](kms-controls.md#kms-5)  | Kunci KMS tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Kebijakan fungsi Lambda harus melarang akses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Fungsi Lambda harus menggunakan runtime yang didukung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Fungsi Lambda harus dalam VPC  |  PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Fungsi Lambda harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Fungsi Lambda harus mengaktifkan penelusuran AWS X-Ray aktif | NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [Macie.2](macie-controls.md#macie-2)  | Penemuan data sensitif otomatis Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [MSK.1](msk-controls.md#msk-1)  |  Cluster MSK harus dienkripsi dalam perjalanan di antara node broker  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Cluster MSK harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi  |  NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MSK.3](msk-controls.md#msk-3)  | Konektor MSK Connect harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [MSK.4](msk-controls.md#msk-4)  | Kluster MSK harus menonaktifkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MSK.5](msk-controls.md#msk-5)  | Konektor MSK seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MSK.6](msk-controls.md#msk-6)  | Kluster MSK harus menonaktifkan akses yang tidak diautentikasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MQ.2](mq-controls.md#mq-2)  | Broker ActiveMQ harus mengalirkan log audit ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MQ.4](mq-controls.md#mq-4)  | Broker Amazon MQ harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [MQ.5](mq-controls.md#mq-5)  |  Broker ActiveMQ harus menggunakan mode penerapan active/standby  | NIST SP 800-53 Wahyu 5 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MQ.6](mq-controls.md#mq-6)  |  Broker RabbitMQ harus menggunakan mode penerapan cluster  | NIST SP 800-53 Wahyu 5 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.1](neptune-controls.md#neptune-1)  |  Cluster DB Neptunus harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [Neptunus.2](neptune-controls.md#neptune-2)  |  Cluster DB Neptunus harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [Neptunus.3](neptune-controls.md#neptune-3)  |  Snapshot cluster Neptunus DB seharusnya tidak bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.4](neptune-controls.md#neptune-4)  |  Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.5](neptune-controls.md#neptune-5)  |  Cluster DB Neptunus harus mengaktifkan cadangan otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Neptunus.6](neptune-controls.md#neptune-6)  |  Snapshot cluster Neptunus DB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.7](neptune-controls.md#neptune-7)  |  Cluster DB Neptunus harus mengaktifkan otentikasi database IAM  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.8](neptune-controls.md#neptune-8)  |  Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.9](neptune-controls.md#neptune-9)  |  Cluster DB Neptunus harus digunakan di beberapa Availability Zone  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.1](networkfirewall-controls.md#networkfirewall-1)  |  Firewall Network Firewall harus digunakan di beberapa Availability Zone  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  Pencatatan Network Firewall harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5)  |  Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket yang terfragmentasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  Grup aturan firewall jaringan stateless tidak boleh kosong  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7)  | Firewall Network Firewall harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8)  | Kebijakan firewall Network Firewall harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9)  |  Firewall Network Firewall harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Firewall Network Firewall harus mengaktifkan perlindungan perubahan subnet | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch domain harus mengaktifkan enkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch Domain tidak boleh diakses publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch domain harus mengenkripsi data yang dikirim antar node  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch kesalahan domain saat masuk ke CloudWatch Log harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch domain harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch domain harus memiliki setidaknya tiga node data  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch domain harus mengaktifkan kontrol akses berbutir halus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru |  AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch domain harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch domain harus memiliki setidaknya tiga node primer khusus | NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA otoritas sertifikat root harus dinonaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Otoritas sertifikat CA swasta harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.1](rds-controls.md#rds-1)  |  Snapshot RDS harus bersifat pribadi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.2](rds-controls.md#rds-2)  |  Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Instans RDS DB harus mengaktifkan enkripsi saat istirahat  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.5](rds-controls.md#rds-5)  |  Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone  | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.7](rds-controls.md#rds-7)  |  Cluster RDS harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Instans RDS DB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.9](rds-controls.md#rds-9)  | Instans RDS DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.10](rds-controls.md#rds-10)  |  Autentikasi IAM harus dikonfigurasi untuk instance RDS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Instans RDS harus mengaktifkan pencadangan otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.12](rds-controls.md#rds-12)  |  Autentikasi IAM harus dikonfigurasi untuk cluster RDS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Peningkatan versi minor otomatis RDS harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Cluster Amazon Aurora seharusnya mengaktifkan backtracking  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.15](rds-controls.md#rds-15)  |  Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone  | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.16](rds-controls.md#rds-16)  | Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH  | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.17](rds-controls.md#rds-17)  |  Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.18](rds-controls.md#rds-18)  |  Instans RDS harus digunakan dalam VPC  |   |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster kritis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data kritis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.23](rds-controls.md#rds-23)  |  Instans RDS tidak boleh menggunakan port default mesin database  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.24](rds-controls.md#rds-24)  |  Cluster Database RDS harus menggunakan nama pengguna administrator khusus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.25](rds-controls.md#rds-25)  |  Contoh database RDS harus menggunakan nama pengguna administrator khusus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.26](rds-controls.md#rds-26)  |  Instans RDS DB harus dilindungi oleh rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [RDS.27](rds-controls.md#rds-27)  |  Cluster RDS DB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.28](rds-controls.md#rds-28)  | Cluster RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.29](rds-controls.md#rds-29)  | Snapshot cluster RDS DB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.30](rds-controls.md#rds-30)  | Instans RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.31](rds-controls.md#rds-31)  | Grup keamanan RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.32](rds-controls.md#rds-32)  | Snapshot RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.33](rds-controls.md#rds-33)  | Grup subnet RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.34](rds-controls.md#rds-34)  |  Cluster Aurora MySQL DB harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.36](rds-controls.md#rds-36)  | RDS untuk instance PostgreSQL DB harus mempublikasikan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.37](rds-controls.md#rds-37)  | Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS untuk instance PostgreSQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS untuk instance MySQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.40](rds-controls.md#rds-40)  | RDS untuk instance SQL Server DB harus mempublikasikan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS untuk instance SQL Server DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.42](rds-controls.md#rds-42)  | RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [RDS.43](rds-controls.md#rds-43)  | Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS untuk instance MariaDB DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.45](rds-controls.md#rds-45)  | Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.46](rds-controls.md#rds-46)  | Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.47](rds-controls.md#rds-47)  | RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.48](rds-controls.md#rds-48)  | RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.50](rds-controls.md#rds-50)  |  Cluster RDS DB harus memiliki periode retensi cadangan yang cukup ditetapkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Ya  |  Perubahan dipicu  | 
|  [Pergeseran merah.1](redshift-controls.md#redshift-1)  |  Cluster Amazon Redshift harus melarang akses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran merah.2](redshift-controls.md#redshift-2)  |  Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran merah.3](redshift-controls.md#redshift-3)  |  Cluster Amazon Redshift harus mengaktifkan snapshot otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Pergeseran merah.4](redshift-controls.md#redshift-4)  |  Cluster Amazon Redshift harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.6](redshift-controls.md#redshift-6)  |  Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.7](redshift-controls.md#redshift-7)  |  Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.8](redshift-controls.md#redshift-8)  |  Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.10](redshift-controls.md#redshift-10)  |  Cluster Redshift harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.11](redshift-controls.md#redshift-11)  | Cluster Redshift harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.12](redshift-controls.md#redshift-12)  | Pemberitahuan berlangganan acara Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.13](redshift-controls.md#redshift-13)  | Cuplikan klaster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.14](redshift-controls.md#redshift-14)  | Grup subnet cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.15](redshift-controls.md#redshift-15)  | Grup keamanan Redshift harus mengizinkan masuknya pada port cluster hanya dari asal yang dibatasi | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Pergeseran Merah.16](redshift-controls.md#redshift-16)  | Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Pergeseran Merah.17](redshift-controls.md#redshift-17)  | Grup parameter cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.18](redshift-controls.md#redshift-18)  | Cluster Redshift harus mengaktifkan penerapan Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RedshiftServerless.1](redshiftserverless-controls.md#redshiftserverless-1)  | Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Kelompok kerja Redshift Tanpa Server harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5)  | Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Route53.1](route53-controls.md#route53-1)  | Pemeriksaan kesehatan Route 53 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Route53.2](route53-controls.md#route53-2)  |  Rute 53 zona yang dihosting publik harus mencatat kueri DNS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [S3.1](s3-controls.md#s3-1)  | Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.2](s3-controls.md#s3-2)  | Bucket tujuan umum S3 harus memblokir akses baca publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [S3.3](s3-controls.md#s3-3)  | Bucket tujuan umum S3 harus memblokir akses tulis publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [S3.5](s3-controls.md#s3-5)  | Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.6](s3-controls.md#s3-6)  | Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.7](s3-controls.md#s3-7)  | Bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.8](s3-controls.md#s3-8)  | Bucket tujuan umum S3 harus memblokir akses publik | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.9](s3-controls.md#s3-9)  | Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.10](s3-controls.md#s3-10)  | Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.11](s3-controls.md#s3-11)  | Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3 | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.13](s3-controls.md#s3-13)  | Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.14](s3-controls.md#s3-14)  | Bucket tujuan umum S3 harus mengaktifkan versi | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.15](s3-controls.md#s3-15)  | Bucket tujuan umum S3 harus mengaktifkan Object Lock | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.17](s3-controls.md#s3-17)  | Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.19](s3-controls.md#s3-19)  | Titik akses S3 harus mengaktifkan pengaturan akses publik blok | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.20](s3-controls.md#s3-20)  | Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.22](s3-controls.md#s3-22)  | Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.23](s3-controls.md#s3-23)  | Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.24](s3-controls.md#s3-24)  | Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik yang diblokir | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.25](s3-controls.md#s3-25)  | Bucket direktori S3 harus memiliki konfigurasi siklus hidup | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.1](sagemaker-controls.md#sagemaker-1)  |  Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker instance notebook harus diluncurkan dalam VPC khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker varian produksi endpoint harus memiliki jumlah instance awal yang lebih besar dari 1 | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SageMaker.5](sagemaker-controls.md#sagemaker-5)  | SageMaker model harus mengaktifkan isolasi jaringan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker konfigurasi gambar aplikasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.7](sagemaker-controls.md#sagemaker-7)  | SageMaker gambar harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.8](sagemaker-controls.md#sagemaker-8)  | SageMaker instance notebook harus berjalan pada platform yang didukung | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SageMaker.9](sagemaker-controls.md#sagemaker-9)  |  SageMaker definisi pekerjaan kualitas data harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker definisi pekerjaan penjelasan model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker definisi pekerjaan kualitas data harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.12](sagemaker-controls.md#sagemaker-12)  |  SageMaker definisi pekerjaan bias model harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.13](sagemaker-controls.md#sagemaker-13)  |  SageMaker definisi pekerjaan kualitas model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.14](sagemaker-controls.md#sagemaker-14)  |  SageMaker jadwal pemantauan harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker definisi pekerjaan bias model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SecretsManager.1](secretsmanager-controls.md#secretsmanager-1)  |  Rahasia Secrets Manager harus mengaktifkan rotasi otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  Hapus rahasia Secrets Manager yang tidak digunakan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5)  | Rahasia Secrets Manager harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ServiceCatalog.1](servicecatalog-controls.md#servicecatalog-1)  | Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SES.1](ses-controls.md#ses-1)  | Daftar kontak SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SES.2](ses-controls.md#ses-2)  | Set konfigurasi SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SES.3](ses-controls.md#ses-3)  | Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SNS.1](sns-controls.md#sns-1)  | Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SNS.3](sns-controls.md#sns-3)  | Topik SNS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SNS.4](sns-controls.md#sns-4)  | Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Antrian Amazon SQS harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SQ.2](sqs-controls.md#sqs-2)  | Antrian SQS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  Instans EC2 harus dikelola oleh AWS Systems Manager  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  Dokumen SSM tidak boleh bersifat publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | Dokumen SSM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SSM.6](ssm-controls.md#ssm-6)  | Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SSM.7](ssm-controls.md#ssm-7)  | Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [StepFunctions.1](stepfunctions-controls.md#stepfunctions-1)  |  Mesin status Step Functions harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | Aktivitas Step Functions harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Alur kerja Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi endpoint | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Transfer.3](transfer-controls.md#transfer-3)  | Konektor Transfer Family seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Transfer.4](transfer-controls.md#transfer-4)  | Perjanjian Transfer Family harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.5](transfer-controls.md#transfer-5)  | Sertifikat Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Konektor Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Profil Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS Pencatatan ACL Web Global WAF Classic harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Aturan WAF Classic Regional harus memiliki setidaknya satu syarat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS Kelompok aturan WAF Classic Regional harus memiliki setidaknya satu aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS Web WAF Classic Regional ACLs harus memiliki setidaknya satu aturan atau kelompok aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Aturan global WAF Classic harus memiliki setidaknya satu syarat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Grup aturan global WAF Classic harus memiliki setidaknya satu aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS Web global WAF Classic ACLs harus memiliki setidaknya satu aturan atau grup aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS Web WAF ACLs harus memiliki setidaknya satu aturan atau kelompok aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS Pencatatan ACL web WAF harus diaktifkan  | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS Aturan WAF harus mengaktifkan CloudWatch metrik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WorkSpaces.1](workspaces-controls.md#workspaces-1)  | WorkSpaces volume pengguna harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces volume root harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 

# Ubah log untuk kontrol CSPM Security Hub
<a name="controls-change-log"></a>

Log perubahan berikut melacak perubahan material pada kontrol CSPM AWS Security Hub yang ada, yang dapat mengakibatkan perubahan pada keseluruhan status kontrol dan status kepatuhan temuannya. Untuk informasi tentang cara CSPM Security Hub mengevaluasi status kontrol, lihat. [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md) Perubahan dapat memakan waktu beberapa hari setelah entri mereka di log ini untuk memengaruhi semua Wilayah AWS kontrol yang tersedia.

Log ini melacak perubahan yang terjadi sejak April 2023. Pilih kontrol untuk meninjau detail tambahan tentangnya. Perubahan judul dicatat dalam deskripsi rinci kontrol selama 90 hari.


| Tanggal perubahan | Kontrol ID dan judul | Deskripsi perubahan | 
| --- | --- | --- | 
| April 3, 2026 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.32`. `1.33` Dukungan standar untuk Kubernetes versi 1.32 di Amazon EKS berakhir pada 23 Maret 2026.  | 
| April 3, 2026 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Parameter Lambda.2 untuk runtime yang didukung tidak lagi disertakan karena ruby3.2 Lambda telah menghentikan runtime ini. | 
| Maret 24, 2026 | [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) | Security Hub CSPM memperbarui judul kontrol untuk mencerminkan bahwa kontrol memeriksa semua cluster RDS DB. | 
| Maret 24, 2026 | [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) | Security Hub CSPM memperbarui judul kontrol dan deskripsi untuk mencerminkan bahwa kontrol memeriksa definisi tugas ECS. Security Hub CSPM juga memperbarui kontrol untuk tidak menghasilkan temuan untuk definisi tugas dengan `runtimePlatform` dikonfigurasi untuk menentukan keluarga `WINDOWS_SERVER` OS. | 
| Maret 9, 2026 | [AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Maret 9, 2026 | [AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Maret 4, 2026 | [ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (FSBP) dan standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| Februari 5, 2026 | [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) | Security Hub CSPM akan menghentikan kontrol ini dan menghapus dari semua standar CSPM Security Hub yang berlaku pada 9 Maret 2026. AWS AppSync menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Februari 5, 2026 | [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) | Security Hub CSPM akan menghentikan kontrol ini dan menghapus dari semua standar CSPM Security Hub yang berlaku pada 9 Maret 2026. AWS AppSync menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Januari 16, 2026 | [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) | Security Hub CSPM memberikan pemberitahuan bahwa kontrol ini akan dihentikan dan dihapus dari semua standar CSPM Security Hub yang berlaku setelah 16 Februari 2026. | 
| Januari 12, 2026 | [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) | Security Hub CSPM memperbarui kontrol ini untuk menghapus parameter. `loggingEnabled` | 
| Januari 12, 2026 | [MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis | Security Hub CSPM menghentikan kontrol dan menghapus kontrol dari semua standar yang berlaku. Security Hub CSPM menghentikan kontrol karena persyaratan Amazon MQ untuk peningkatan versi minor otomatis. [Sebelumnya, kontrol diterapkan pada standar [AWS Foundational Security Best Practices (FSBP), standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 dan standar PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| Januari 12, 2026 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `dotnet10` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| Desember 15, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `python3.9` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime ini. | 
| Desember 12, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.31`. `1.32` Dukungan standar untuk Kubernetes versi 1.31 di Amazon EKS berakhir pada 26 November 2025.  | 
| November 21, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `nodejs24.x` dan `python3.14` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| November 14, 2025 | [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) | Security Hub CSPM memperbarui deskripsi dan alasan untuk kontrol ini. Sebelumnya, kontrol hanya memeriksa penetapan otomatis IP IPv4 publik di subnet Amazon VPC menggunakan bendera. `MapPublicIpOnLaunch` Kontrol ini sekarang memeriksa keduanya IPv4 dan penetapan otomatis IP IPv6 publik. Deskripsi dan alasan kontrol telah diperbarui untuk mencerminkan perubahan ini. | 
| November 14, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `java25` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| November 13, 2025 | [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `CRITICAL` Mengizinkan akses publik ke topik Amazon SNS menimbulkan risiko keamanan yang signifikan. | 
| November 13, 2025 | [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `CRITICAL` Mengizinkan akses publik ke antrian Amazon SQS menimbulkan risiko keamanan yang signifikan. | 
| November 13, 2025 | [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `HIGH` Jenis pemantauan runtime ini menyediakan deteksi ancaman yang ditingkatkan untuk sumber daya Amazon EKS. | 
| November 13, 2025 | [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Peningkatan versi minor mencakup tambalan keamanan yang diperlukan untuk menjaga keamanan broker Amazon MQ. | 
| November 13, 2025 | [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Pembaruan perangkat lunak mencakup tambalan keamanan yang diperlukan untuk menjaga keamanan OpenSearch domain. | 
| November 13, 2025 | [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Perlindungan penghapusan membantu mencegah penghapusan database Amazon RDS secara tidak sengaja dan penghapusan database RDS oleh entitas yang tidak sah. | 
| November 13, 2025 | [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` AWS CloudTrail data logging di Amazon CloudWatch Logs dapat digunakan untuk aktivitas audit, alarm, dan operasi keamanan penting lainnya. | 
| November 13, 2025 | [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `MEDIUM` Berbagi AWS Service Catalog portofolio dengan akun tertentu dapat disengaja dan tidak selalu menunjukkan bahwa portofolio dapat diakses publik. | 
| November 13, 2025 | [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `LOW` Nama `cloudfront.net` domain default untuk CloudFront distribusi Amazon dihasilkan secara acak, yang mengurangi risiko keamanan. | 
| November 13, 2025 | [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `LOW` Dalam penerapan multi-instance, instance sehat lainnya dapat menangani sesi pengguna saat instance dihentikan tanpa menguras koneksi, yang mengurangi dampak operasional dan risiko ketersediaan. | 
| November 13, 2025 | [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM memperbarui kontrol ini untuk menghapus parameter opsional`validAdminUserNames`. | 
| Oktober 23, 2025 | [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) | Security Hub CSPM mengembalikan perubahan yang dibuat pada judul, deskripsi, dan aturan untuk kontrol ini pada 14 Oktober 2025. | 
| Oktober 22, 2025 | [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM memperbarui kontrol ini untuk tidak menghasilkan temuan untuk CloudFront distribusi Amazon yang menggunakan asal kustom.  | 
| Oktober 16, 2025 | [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) | Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan. Security Hub CSPM sekarang mendukung `TLSv1.2_2025` dan `TLSv1.3_2025` sebagai nilai parameter untuk kontrol ini. | 
| Oktober 14, 2025 | [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) | Security Hub CSPM mengubah judul, deskripsi, dan aturan untuk kontrol ini. [Sebelumnya, kontrol memeriksa kluster Redis OSS dan semua grup replikasi, menggunakan aturan -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) Judul kontrolnya adalah: *ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis*. [Kontrol ini sekarang memeriksa cluster Valkey selain cluster Redis OSS dan semua grup replikasi, menggunakan aturan -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) Judul dan deskripsi baru mencerminkan bahwa kontrol memeriksa kedua jenis cluster.  | 
| Oktober 5, 2025 | [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) | Aturan untuk kontrol ini diperbarui untuk juga menghasilkan `PASSED` temuan jika domain OpenSearch Layanan Amazon tidak memiliki pembaruan perangkat lunak yang tersedia dan status pembaruan tidak memenuhi syarat. Sebelumnya, kontrol ini menghasilkan `PASSED` temuan hanya jika OpenSearch domain tidak memiliki pembaruan perangkat lunak yang tersedia dan status pembaruan selesai.  | 
| September 24, 2025 | [Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default [RedshiftServerless.7] Ruang nama Redshift Tanpa Server seharusnya tidak menggunakan nama database default | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar yang berlaku. Security Hub CSPM menghentikan kontrol ini karena keterbatasan Amazon Redshift yang melekat yang mencegah perbaikan temuan yang efektif untuk kontrol. `FAILED` Sebelumnya, kontrol diterapkan pada standar [AWS Foundational Security Best Practices (FSBP) dan standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5. [Kontrol Redshift.9 juga diterapkan pada standar yang dikelola layanan.AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)  | 
| September 9, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `nodejs18.x` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime Node.js 18. | 
| Agustus 13, 2025 | [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih akurat mencerminkan bahwa kontrol memeriksa pengaturan untuk `EnableNetworkIsolation` parameter model yang dihosting Amazon SageMaker AI. Sebelumnya, judul kontrol ini adalah: *SageMaker models should block inbound traffic*.  | 
| Agustus 13, 2025 | [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) | Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih tepat mencerminkan ruang lingkup dan sifat pemeriksaan yang dilakukan kontrol. Sebelumnya, judul kontrol ini adalah: *EFS mount targets should not be associated with a public subnet*.  | 
| Juli 24, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.30`. `1.31` Dukungan standar untuk Kubernetes versi 1.30 di Amazon EKS berakhir pada 23 Juli 2025.  | 
| Juli 23, 2025 | [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) | Security Hub CSPM mengubah judul kontrol ini. Judul baru lebih akurat mencerminkan bahwa kontrol hanya memeriksa permintaan Armada Spot Amazon EC2 yang menentukan parameter peluncuran. Sebelumnya, judul kontrol ini adalah: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| Juni 30, 2025 | [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) | Security Hub CSPM menghapus kontrol ini dari standar [PCI DSS](pci-standard.md) v4.0.1. PCI DSS v4.0.1 tidak secara eksplisit memerlukan penggunaan simbol dalam kata sandi.  | 
| Juni 30, 2025 | [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) | Security Hub CSPM menghapus kontrol ini dari standar [NIST SP 800-171](standards-reference-nist-800-171.md) Revisi 2. NIST SP 800-171 Revisi 2 tidak secara eksplisit memerlukan periode kedaluwarsa kata sandi 90 hari atau kurang.  | 
| Juni 30, 2025 | [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) | Security Hub CSPM mengubah judul kontrol ini. Judul baru lebih akurat mencerminkan bahwa kontrol hanya memeriksa cluster Amazon Aurora DB. Sebelumnya, judul kontrol ini adalah: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| Juni 30, 2025 | [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) | Kontrol ini memeriksa apakah instance notebook Amazon SageMaker AI dikonfigurasi untuk berjalan pada platform yang didukung, berdasarkan pengenal platform yang ditentukan untuk instance notebook. Security Hub CSPM tidak lagi mendukung `notebook-al2-v1` dan `notebook-al2-v2` sebagai nilai parameter untuk kontrol ini. Instans notebook yang berjalan pada platform ini mencapai akhir dukungan pada 30 Juni 2025. | 
| 30 Mei 2025 | [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) | Security Hub CSPM menghapus kontrol ini dari standar [PCI DSS](pci-standard.md) v4.0.1. Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM memenuhi persyaratan minimum, termasuk panjang kata sandi minimum 7 karakter. PCI DSS v4.0.1 sekarang membutuhkan kata sandi untuk memiliki minimal 8 karakter. Kontrol terus berlaku untuk standar PCI DSS v3.2.1, yang memiliki persyaratan kata sandi yang berbeda. [Untuk mengevaluasi kebijakan kata sandi akun terhadap persyaratan PCI DSS v4.0.1, Anda dapat menggunakan kontrol IAM.7.](iam-controls.md#iam-7) Kontrol ini membutuhkan kata sandi untuk memiliki minimal 8 karakter. Ini juga mendukung nilai khusus untuk panjang kata sandi dan parameter lainnya. Kontrol IAM.7 adalah bagian dari standar PCI DSS v4.0.1 di Security Hub CSPM.  | 
| 8 Mei 2025 | [RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet | Security Hub CSPM memutar kembali rilis kontrol RDS.46 secara keseluruhan. Wilayah AWS Sebelumnya, kontrol ini mendukung standar AWS Foundational Security Best Practices (FSBP). | 
| April 7, 2025 | [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) | Kontrol ini memeriksa apakah pendengar HTTPS untuk Application Load Balancer atau pendengar TLS untuk Network Load Balancer dikonfigurasi untuk mengenkripsi data dalam perjalanan menggunakan kebijakan keamanan yang disarankan. Security Hub CSPM sekarang mendukung dua nilai parameter tambahan untuk kontrol ini: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` dan. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` | 
| Maret 27, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `ruby3.4` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| Maret 26, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Untuk `oldestVersionSupported` parameter, Security Hub CSPM mengubah nilai dari `1.29` ke. `1.30` Versi Kubernetes tertua yang didukung sekarang. `1.30` | 
| 10 Maret 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `dotnet6` dan `python3.8` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime ini. | 
| 7 Maret 2025 | [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) | Security Hub CSPM menghapus kontrol ini dari standar Praktik Terbaik Keamanan AWS Dasar dan pemeriksaan otomatis untuk persyaratan NIST SP 800-53 Rev. 5. Sejak jaringan Amazon EC2-Classic dihentikan, instans Amazon Relational Database Service (Amazon RDS) tidak dapat lagi digunakan di luar VPC. Kontrol terus menjadi bagian dari standar yang [AWS Control Tower dikelola layanan](service-managed-standard-aws-control-tower.md). | 
| Januari 10, 2025 | [Glue.2] Pekerjaan AWS Glue seharusnya mengaktifkan logging | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. | 
| Desember 20, 2024 | EC2.61 melalui EC2.169  | Security Hub CSPM meluncurkan kembali rilis EC2.61 melalui kontrol EC2.169. | 
| Desember 12, 2024 | [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23)  | RDS.23 memeriksa apakah cluster atau instance Amazon Relational Database Service (Amazon RDS) menggunakan port selain port default mesin database. Kami memperbarui kontrol sehingga AWS Config aturan yang mendasarinya mengembalikan hasil NOT\$1APPLICABLE untuk instance RDS yang merupakan bagian dari cluster. | 
| Desember 2, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung nodejs22.x sebagai parameter. | 
| November 26, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung sekarang1.29. | 
| November 20, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Config.1 memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM meningkatkan tingkat keparahan kontrol ini dari ke`MEDIUM`. `CRITICAL` Security Hub CSPM juga menambahkan [kode status baru dan alasan status](controls-findings-create-update.md#control-findings-asff-compliance) untuk temuan Config.1 yang gagal. Perubahan ini mencerminkan pentingnya Config.1 untuk pengoperasian kontrol CSPM Security Hub. Jika Anda memiliki AWS Config atau perekaman sumber daya dinonaktifkan, Anda dapat menerima temuan kontrol yang tidak akurat. Untuk menerima `PASSED` temuan untuk Config.1, aktifkan perekaman sumber daya untuk sumber daya yang sesuai dengan kontrol CSPM Security Hub yang diaktifkan, dan nonaktifkan kontrol yang tidak diperlukan di organisasi Anda. Untuk petunjuk tentang mengonfigurasi AWS Config CSPM Security Hub, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk daftar kontrol CSPM Security Hub dan sumber daya yang sesuai, lihat. [AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md) | 
| November 12, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.13 sebagai parameter. | 
| Oktober 11, 2024 | ElastiCache kontrol  | Mengubah judul kontrol untuk ElastiCache .3, ElastiCache .4, ElastiCache .5, dan .7. ElastiCache Judul tidak lagi menyebutkan Redis OSS karena kontrol juga berlaku ElastiCache untuk Valkey. | 
| September 27, 2024 | [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4)  | Judul kontrol yang diubah dari Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http ke Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid. | 
| Agustus 19, 2024 | Judul berubah ke DMS.12 dan kontrol ElastiCache  | Mengubah judul kontrol untuk DMS.12 dan .1 hingga ElastiCache .7. ElastiCache Kami mengubah judul-judul ini untuk mencerminkan perubahan nama di layanan Amazon ElastiCache (Redis OSS). | 
| Agustus 15, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Config.1 memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM menambahkan parameter kontrol kustom bernama. includeConfigServiceLinkedRoleCheck Dengan menyetel parameter inifalse, Anda dapat memilih untuk tidak memeriksa apakah AWS Config menggunakan peran terkait layanan. | 
| Juli 31, 2024 | [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1)  | Judul kontrol yang diubah dari profil AWS IoT Core keamanan harus ditandai ke profil AWS IoT Device Defender keamanan harus ditandai. | 
| Juli 29, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung nodejs16.x sebagai parameter. | 
| Juli 29, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung adalah1.28. | 
| Juni 25, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Kontrol ini memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM memperbarui judul kontrol untuk mencerminkan apa yang dievaluasi oleh kontrol. | 
| Juni 14, 2024 | [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34)  | Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Security Hub CSPM memperbarui kontrol sehingga tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB. | 
| Juni 11, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung adalah1.27. | 
| Juni 10, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Kontrol ini memeriksa apakah AWS Config diaktifkan dan perekaman AWS Config sumber daya diaktifkan. Sebelumnya, kontrol menghasilkan PASSED temuan hanya jika Anda mengonfigurasi rekaman untuk semua sumber daya. Security Hub CSPM memperbarui kontrol untuk menghasilkan PASSED temuan saat perekaman diaktifkan untuk sumber daya yang diperlukan untuk kontrol yang diaktifkan. Kontrol juga telah diperbarui untuk memeriksa apakah peran AWS Config terkait layanan digunakan, yang memberikan izin untuk merekam sumber daya yang diperlukan. | 
| 8 Mei 2024 | [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)  | Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 telah mengaktifkan penghapusan autentikasi multi-faktor (MFA). Sebelumnya, kontrol menghasilkan FAILED temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Namun, penghapusan MFA dengan pembuatan versi tidak dapat diaktifkan pada bucket yang memiliki konfigurasi Siklus Hidup. Security Hub CSPM memperbarui kontrol agar tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Deskripsi kontrol telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| 2 Mei 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.26. | 
| April 30, 2024 | [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)  | Judul kontrol yang diubah dari CloudTrail harus diaktifkan ke Setidaknya satu CloudTrail jejak harus diaktifkan. Kontrol ini saat ini menghasilkan PASSED temuan jika Akun AWS memiliki setidaknya satu CloudTrail jejak diaktifkan. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| April 29, 2024 | [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1)  | Judul kontrol yang diubah dari grup Auto Scaling yang terkait dengan Classic Load Balancer harus menggunakan pemeriksaan kesehatan penyeimbang beban ke grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB. Kontrol ini saat ini mengevaluasi Application, Gateway, Network, dan Classic Load Balancer. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| April 19, 2024 | [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  | Kontrol memeriksa apakah AWS CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup peristiwa manajemen baca dan tulis. Sebelumnya, kontrol salah menghasilkan PASSED temuan ketika akun telah CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah, bahkan jika tidak ada jejak yang menangkap peristiwa manajemen baca dan tulis. Kontrol sekarang menghasilkan PASSED temuan hanya ketika CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. | 
| April 10, 2024 | [Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Workgroup Athena mengirim log ke bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. | 
| April 10, 2024 | [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Batas hop respons metadata untuk instans Amazon Elastic Compute Cloud (Amazon EC2) bergantung pada beban kerja. | 
| April 10, 2024 | [CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS)  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mengintegrasikan AWS CloudFormation tumpukan dengan topik Amazon SNS bukan lagi praktik terbaik keamanan. Meskipun mengintegrasikan CloudFormation tumpukan penting dengan topik SNS dapat bermanfaat, itu tidak diperlukan untuk semua tumpukan. | 
| April 10, 2024 | [CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mengaktifkan mode istimewa dalam CodeBuild proyek tidak menimbulkan risiko tambahan bagi lingkungan pelanggan. | 
| April 10, 2024 | [IAM.20] Hindari penggunaan pengguna root  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Tujuan dari kontrol ini dicakup oleh kontrol lain,[[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1). | 
| April 10, 2024 | [SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mencatat status pengiriman untuk topik SNS bukan lagi praktik terbaik keamanan. Meskipun mencatat status pengiriman untuk topik SNS penting dapat berguna, itu tidak diperlukan untuk semua topik. | 
| April 10, 2024 | [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Tujuan dari kontrol ini dicakup oleh dua kontrol lainnya: [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) dan[[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14). Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 10, 2024 | [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Meskipun ada beberapa kasus di mana pemberitahuan acara untuk bucket S3 berguna, ini bukan praktik terbaik keamanan universal. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 10, 2024 | [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Secara default, SNS mengenkripsi topik saat istirahat dengan enkripsi disk. Untuk informasi selengkapnya tentang [enkripsi](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html) saat istirahat, lihat. Menggunakan AWS KMS untuk mengenkripsi topik tidak lagi direkomendasikan sebagai praktik terbaik keamanan. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 8, 2024 | [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6)  | Judul kontrol yang diubah dari perlindungan penghapusan Application Load Balancer harus diaktifkan ke Application, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan. Kontrol ini saat ini mengevaluasi Application, Gateway, dan Network Load Balancers. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| Maret 22, 2024 | [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8)  | Judul kontrol yang diubah dari Koneksi ke OpenSearch domain harus dienkripsi menggunakan TLS 1.2 hingga Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke OpenSearch domain menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika OpenSearch domain dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| Maret 22, 2024 | [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8)  | Judul kontrol yang diubah dari Connections ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2 ke Connections to Elasticsearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke domain Elasticsearch menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika domain Elasticsearch dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| Maret 12, 2024 | [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan ke bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2)  | Judul yang diubah dari bucket S3 harus melarang akses baca publik ke bucket tujuan umum S3 harus memblokir akses baca publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3)  | Judul yang diubah dari bucket S3 harus melarang akses tulis publik ke bucket tujuan umum S3 harus memblokir akses tulis publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  | Judul yang diubah dari bucket S3 harus memerlukan permintaan untuk menggunakan Secure Socket Layer ke bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)  | Judul yang diubah dari izin S3 yang diberikan ke kebijakan bucket lainnya harus dibatasi Akun AWS pada kebijakan bucket tujuan umum S3 yang harus membatasi akses ke yang lain. Akun AWS Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)  | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan pada bucket tujuan umum tingkat ember ke S3 harus memblokir akses publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)  | Judul yang diubah dari pencatatan akses server bucket S3 harus diaktifkan ke Pencatatan akses Server harus diaktifkan untuk bucket tujuan umum S3. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10)  | Judul yang diubah dari bucket S3 dengan versi diaktifkan harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 dengan versi yang diaktifkan harus memiliki konfigurasi Siklus Hidup. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)  | Judul yang diubah dari bucket S3 harus mengaktifkan notifikasi acara ke bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12)  | Judul yang diubah dari daftar kontrol akses S3 (ACLs) tidak boleh digunakan untuk mengelola akses pengguna ke bucket agar ACLs tidak digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13)  | Judul yang diubah dari bucket S3 harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14)  | Judul yang diubah dari bucket S3 harus menggunakan pembuatan versi ke bucket tujuan umum S3 harus mengaktifkan versi. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15)  | Judul yang diubah dari bucket S3 harus dikonfigurasi untuk menggunakan Object Lock ke bucket tujuan umum S3 harus mengaktifkan Object Lock. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)  | Judul yang diubah dari bucket S3 harus dienkripsi saat istirahat dengan AWS KMS keys bucket tujuan umum S3 harus dienkripsi saat istirahat. AWS KMS keys Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| 7 Maret 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung nodejs20.x dan ruby3.3 sebagai parameter. | 
| Februari 22, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung dotnet8 sebagai parameter. | 
| Februari 5, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.25.  | 
| 10 Januari 2024 | [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1)  | Judul yang diubah dari CodeBuild GitHub atau repositori sumber Bitbucket URLs harus digunakan OAuth untuk repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal URLs  sensitif. Security Hub CSPM menghapus penyebutan OAuth karena metode koneksi lain juga bisa aman. Security Hub CSPM menghapus penyebutan GitHub karena tidak mungkin lagi memiliki token akses pribadi atau nama pengguna dan kata sandi di repositori GitHub sumber. URLs | 
| 8 Januari 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung go1.x dan java8 sebagai parameter karena ini adalah runtime yang sudah pensiun. | 
| Desember 29, 2023 | [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8)  | RDS.8 memeriksa apakah instans Amazon RDS DB yang menggunakan salah satu mesin database yang didukung telah mengaktifkan perlindungan penghapusan. Security Hub CSPM sekarang mendukungcustom-oracle-ee,oracle-ee-cdb, dan oracle-se2-cdb sebagai mesin database. | 
| 22 Desember 2023 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung java21 dan python3.12 sebagai parameter. Security Hub CSPM tidak lagi mendukung ruby2.7 sebagai parameter. | 
| 15 Desember 2023 | [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 memeriksa apakah CloudFront distribusi Amazon memiliki objek root default yang dikonfigurasi. Security Hub CSPM menurunkan tingkat keparahan kontrol ini dari CRITICAL ke HIGH karena menambahkan objek root default adalah rekomendasi yang bergantung pada aplikasi pengguna dan persyaratan spesifik. | 
| 5 Desember 2023  | [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | Judul kontrol yang diubah dari Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port 22 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22.  | 
| 5 Desember 2023  | [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  | Judul kontrol yang diubah dari Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 3389 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389.  | 
| 5 Desember 2023  | [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)  | Judul kontrol yang diubah dari pencatatan Database harus diaktifkan ke instans RDS DB harus menerbitkan log ke CloudWatch Log. Security Hub CSPM mengidentifikasi bahwa kontrol ini hanya memeriksa apakah log dipublikasikan ke Amazon CloudWatch Logs dan tidak memeriksa apakah log RDS diaktifkan. Kontrol menghasilkan PASSED temuan jika instans RDS DB dikonfigurasi untuk menerbitkan log ke CloudWatch Log. Judul kontrol telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| 5 Desember 2023 | [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8)  | Kontrol ini memeriksa apakah klaster Amazon EKS mengaktifkan pencatatan audit. AWS Config Aturan yang digunakan Security Hub CSPM untuk mengevaluasi kontrol ini berubah dari eks-cluster-logging-enabled ke. eks-cluster-log-enabled | 
| 17 November 2023  | [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19)  | EC2.19 memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan dapat diakses ke port tertentu yang dianggap berisiko tinggi. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 November 2023  | [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15)  | Judul kontrol yang diubah dari CloudWatch alarm harus memiliki tindakan yang dikonfigurasi untuk status ALARM ke CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi.  | 
| 16 November 2023  | [[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu](cloudwatch-controls.md#cloudwatch-16)  | Judul kontrol yang diubah dari grup CloudWatch log harus dipertahankan setidaknya selama 1 tahun untuk grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu.  | 
| 16 November 2023  | [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5)  | Judul kontrol yang diubah dari fungsi VPC Lambda harus beroperasi di lebih dari satu Availability Zone ke VPC Lambda fungsi harus beroperasi di beberapa Availability Zone.  | 
| 16 November 2023  | [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2)  | Judul kontrol yang diubah dari AWS AppSync seharusnya mengaktifkan pencatatan tingkat permintaan dan tingkat bidang harus mengaktifkan logging tingkat bidang.AWS AppSync   | 
| 16 November 2023  | [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1)  | Judul kontrol yang diubah dari node master MapReduce cluster Amazon Elastic seharusnya tidak memiliki alamat IP publik ke node primer klaster EMR Amazon tidak boleh memiliki alamat IP publik.  | 
| 16 November 2023  | [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2)  | Judul kontrol yang diubah dari OpenSearch domain harus dalam VPC OpenSearch ke domain tidak boleh diakses publik.  | 
| 16 November 2023  | [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2)  | Judul kontrol yang diubah dari domain Elasticsearch harus dalam VPC ke domain Elasticsearch tidak boleh diakses publik.  | 
| 31 Oktober 2023  | [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4)  | ES.4 memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Amazon Logs. CloudWatch Kontrol sebelumnya menghasilkan PASSED temuan untuk domain Elasticsearch yang memiliki log yang dikonfigurasi untuk dikirim ke CloudWatch Log. Security Hub CSPM memperbarui kontrol untuk menghasilkan PASSED temuan hanya untuk domain Elasticsearch yang dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch Kontrol juga diperbarui untuk mengecualikan versi Elasticsearch yang tidak mendukung log kesalahan dari evaluasi.  | 
| 16 Oktober 2023  | [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | EC2.13 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 22. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  | EC2.14 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 3389. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18)  | EC2.18 memeriksa apakah grup keamanan yang digunakan mengizinkan lalu lintas masuk yang tidak dibatasi. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.11 sebagai parameter.  | 
| 4 Oktober 2023  | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Security Hub CSPM menambahkan parameter ReplicationType dengan nilai CROSS-REGION untuk memastikan bahwa bucket S3 mengaktifkan replikasi lintas wilayah daripada replikasi wilayah yang sama.  | 
| 27 September 2023  | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.24.  | 
| 20 September 2023  | [CloudFront.2] CloudFront distribusi harus mengaktifkan identitas akses asal  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Sebaliknya, gunakan [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13). Kontrol akses asal adalah praktik terbaik keamanan saat ini. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. | 
| 20 September 2023  | [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22)  | Security Hub CSPM menghapus kontrol ini dari AWS Foundational Security Best Practices (FSBP) dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Itu masih merupakan bagian dari Standar yang Dikelola Layanan:. AWS Control Tower Kontrol ini menghasilkan temuan yang diteruskan jika grup keamanan dilampirkan ke instans EC2 atau ke elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan kontrol EC2 lainnya—seperti EC2.2, EC2.13, EC2.14, EC2.18, dan EC2.19—untuk memantau grup keamanan Anda.  | 
| 20 September 2023  | [EC2.29] Instans EC2 harus diluncurkan dalam VPC  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon EC2 telah memigrasikan instans EC2-Classic ke VPC. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. | 
| 20 September 2023  | [S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. Pengaturan enkripsi tidak berubah untuk bucket yang ada yang dienkripsi dengan enkripsi sisi server SS3 -S3 atau -KMS. SS3 Kontrol ini akan dihapus dari dokumentasi dalam 90 hari.  | 
| 14 September 2023  | [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  | Judul kontrol yang diubah dari Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar ke grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar.  | 
| 14 September 2023  | [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  | Judul kontrol yang diubah dari MFA Virtual harus diaktifkan untuk pengguna root ke MFA harus diaktifkan untuk pengguna root.  | 
|  14 September 2023  | [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19)  | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting.  | 
| 14 September 2023  | [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20)  | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instance database penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting.  | 
| 14 September 2023  | [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2)  | Judul kontrol yang diubah dari Aturan Regional WAF harus memiliki setidaknya satu syarat untuk aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat.  | 
| 14 September 2023  | [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3)  | Judul kontrol yang diubah dari grup aturan WAF Regional harus memiliki setidaknya satu aturan untuk grup aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan.  | 
| 14 September 2023  | [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4)  | Judul kontrol yang diubah dari ACL web Regional WAF harus memiliki setidaknya satu aturan atau grup aturan ke web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6)  | Judul kontrol yang diubah dari aturan global WAF harus memiliki setidaknya satu syarat untuk aturan global AWS WAF Klasik harus memiliki setidaknya satu kondisi.  | 
| 14 September 2023  | [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7)  | Judul kontrol yang diubah dari grup aturan global WAF harus memiliki setidaknya satu aturan ke grup aturan global AWS WAF Klasik harus memiliki setidaknya satu aturan.  | 
| 14 September 2023  | [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8)  | Judul kontrol yang diubah dari ACL web global WAF harus memiliki setidaknya satu aturan atau grup aturan ke Web global AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10)  | Judul kontrol yang diubah dari ACL WAFv2 web harus memiliki setidaknya satu aturan atau grup aturan ke AWS WAF web ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11)  | Judul kontrol yang diubah dari AWS WAF v2 web ACL logging harus diaktifkan ke AWS WAF web ACL logging harus diaktifkan.  | 
|  Juli 20, 2023  | [S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server  | S3.4 memeriksa apakah bucket Amazon S3 mengaktifkan enkripsi sisi server atau kebijakan bucket S3 secara eksplisit menolak permintaan tanpa enkripsi sisi server. PutObject Security Hub CSPM memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-S3, SSE-KMS, atau DSSE-KMS.  | 
| Juli 17, 2023  | [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)  | S3.17 memeriksa apakah bucket Amazon S3 dienkripsi dengan file. AWS KMS key Security Hub CSPM memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-KMS atau DSSE-KMS.  | 
| 9 Juni 2023  | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | EKS.2 memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung sekarang. 1.23  | 
| 9 Juni 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung ruby3.2 sebagai parameter.  | 
| Juni 5, 2023  | [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5)  | APIGateway.5.memeriksa apakah semua metode dalam tahapan API Amazon API Gateway REST dienkripsi saat istirahat. Security Hub CSPM memperbarui kontrol untuk mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.  | 
| 18 Mei 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung java17 sebagai parameter.  | 
| 18 Mei 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung nodejs12.x sebagai parameter.  | 
| April 23, 2023  | [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10)  | ECS.10 memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Pelanggan dapat menyebarkan Amazon ECS melalui ECS secara langsung, atau dengan menggunakan. CodeDeploy Security Hub CSPM memperbarui kontrol ini untuk menghasilkan temuan Lulus saat Anda menggunakan layanan CodeDeploy ECS Fargate.  | 
| 20 April 2023  | [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)  | S3.6 memeriksa apakah kebijakan bucket Amazon Simple Storage Service (Amazon S3) mencegah prinsipal dari pihak Akun AWS lain melakukan tindakan yang ditolak pada sumber daya di bucket S3. Security Hub CSPM memperbarui kontrol untuk memperhitungkan persyaratan dalam kebijakan bucket.  | 
| 18 April 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.10 sebagai parameter. | 
| 18 April 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung dotnetcore3.1 sebagai parameter. | 
| 17 April 2023  | [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11)  | RDS.11 memeriksa apakah instans Amazon RDS telah mengaktifkan pencadangan otomatis, dengan periode retensi cadangan yang lebih besar dari atau sama dengan tujuh hari. Security Hub CSPM memperbarui kontrol ini untuk mengecualikan replika baca dari evaluasi, karena tidak semua mesin mendukung pencadangan otomatis pada replika baca. Selain itu, RDS tidak menyediakan opsi untuk menentukan periode retensi cadangan saat membuat replika baca. Replika baca dibuat dengan periode retensi cadangan secara 0 default.  | 

# Kontrol CSPM Security Hub untuk Akun AWS
<a name="account-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi. Akun AWS

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
<a name="account-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.2, Nist.800-53.r5 CM-2, Nist.800-53.r5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akun Amazon Web Services (AWS) memiliki informasi kontak keamanan. Kontrol gagal jika informasi kontak keamanan tidak disediakan untuk akun.

Kontak keamanan alternatif memungkinkan AWS untuk menghubungi orang lain tentang masalah dengan akun Anda jika Anda tidak tersedia. Pemberitahuan dapat berasal dari Dukungan, atau Layanan AWS tim lain tentang topik terkait keamanan yang terkait dengan penggunaan Anda. Akun AWS 

### Remediasi
<a name="account-1-remediation"></a>

Untuk menambahkan kontak alternatif sebagai kontak keamanan ke kontak Anda Akun AWS, lihat [Memperbarui kontak alternatif untuk Anda Akun AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) di *Panduan Referensi Manajemen AWS Akun*.

## [Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations
<a name="account-2"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa Akun AWS apakah suatu bagian dari organisasi yang dikelola melalui AWS Organizations. Kontrol gagal jika akun bukan bagian dari organisasi.

Organizations membantu Anda mengelola lingkungan secara terpusat saat Anda meningkatkan beban kerja. AWS Anda dapat menggunakan beberapa Akun AWS untuk mengisolasi beban kerja yang memiliki persyaratan keamanan tertentu, atau untuk mematuhi kerangka kerja seperti HIPAA atau PCI. Dengan membuat organisasi, Anda dapat mengelola beberapa akun sebagai satu unit dan mengelola akses Layanan AWS, sumber daya, dan Wilayah secara terpusat.

### Remediasi
<a name="account-2-remediation"></a>

Untuk membuat organisasi baru dan Akun AWS menambahkannya secara otomatis, lihat [Membuat organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) di *Panduan AWS Organizations Pengguna*. Untuk menambahkan akun ke organisasi yang ada, lihat [Mengundang Akun AWS untuk bergabung dengan organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) di *Panduan AWS Organizations Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Amplify
<a name="amplify-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Amplify layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Aplikasi Amplify harus diberi tag
<a name="amplify-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Amplify::App`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Amplify aplikasi memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika aplikasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya akan memeriksa keberadaan kunci tag dan gagal jika aplikasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="amplify-1-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Amplify aplikasi, lihat [Dukungan penandaan sumber daya](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) di *Panduan Pengguna AWS Amplify Hosting*.

## [Amplify.2] Amplify branch harus diberi tag
<a name="amplify-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Amplify::Branch`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Amplify cabang memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika cabang tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cabang tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="amplify-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Amplify cabang, lihat [Dukungan penandaan sumber daya](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) di *Panduan Pengguna AWS Amplify Hosting*.

# Kontrol CSPM Security Hub untuk Amazon API Gateway
<a name="apigateway-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon API Gateway. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
<a name="apigateway-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Tingkat pencatatan log  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah mengaktifkan logging. Kontrol gagal jika `loggingLevel` tidak `ERROR` atau `INFO` untuk semua tahapan API. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat logging salah satu atau`ERROR`. `INFO`

API Gateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. API Gateway REST dan pencatatan eksekusi WebSocket API menyediakan catatan terperinci tentang permintaan yang dibuat ke API Gateway REST dan tahapan WebSocket API. Tahapannya meliputi respons backend integrasi API, respons otorisasi Lambda, dan titik akhir untuk integrasi. `requestId` AWS 

### Remediasi
<a name="apigateway-1-remediation"></a>

Untuk mengaktifkan logging untuk operasi REST dan WebSocket API, lihat [Mengatur pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*.

## [APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend
<a name="apigateway-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahapan API Amazon API Gateway REST memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway.

Tahapan API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan tersebut berasal dari API Gateway.

### Remediasi
<a name="apigateway-2-remediation"></a>

*Untuk petunjuk mendetail tentang cara membuat dan mengonfigurasi sertifikat SSL API Gateway REST API, lihat [Menghasilkan dan mengonfigurasi sertifikat SSL untuk autentikasi backend di Panduan Pengembang](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) API Gateway.*

## [APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran
<a name="apigateway-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk tahapan API REST Amazon API Gateway Anda.

X-Ray active tracing memungkinkan respons yang lebih cepat terhadap perubahan kinerja pada infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. X-Ray active tracing menyediakan metrik real-time permintaan pengguna yang mengalir melalui operasi API API Gateway REST API dan layanan yang terhubung.

### Remediasi
<a name="apigateway-3-remediation"></a>

Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran aktif X-Ray untuk operasi API Gateway REST API, lihat [dukungan penelusuran aktif Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) di Panduan *AWS X-Ray Pengembang*. 

## [APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF
<a name="apigateway-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika ACL AWS WAF web tidak dilampirkan ke tahap REST API Gateway.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="apigateway-4-remediation"></a>

Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan ACL web AWS WAF Regional dengan tahap API Gateway API yang ada, lihat [Menggunakan AWS WAF untuk melindungi Anda APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) di *Panduan Pengembang API Gateway*.

## [APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
<a name="apigateway-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan data > Enkripsi data saat istirahat

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan:** `api-gw-cache-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah semua metode dalam tahapan API Gateway REST API yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub CSPM mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.

Cache API Gateway REST API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="apigateway-5-remediation"></a>

Untuk mengonfigurasi cache API untuk suatu tahap, lihat [Mengaktifkan caching Amazon API Gateway di Panduan](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) *Pengembang API Gateway*. Di **Pengaturan Cache**, pilih **Enkripsi data cache**.

## [APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
<a name="apigateway-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, Nist.800-53.r5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Lindungi > Manajemen Akses Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Route`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Jenis otorisasi rute API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. `authorizationType`

API Gateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke API Anda. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses ke API hanya untuk pengguna atau proses yang berwenang.

### Remediasi
<a name="apigateway-8-remediation"></a>

Untuk menetapkan jenis otorisasi untuk HTTP APIs, lihat [Mengontrol dan mengelola akses ke API HTTP di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) *Panduan Pengembang API Gateway*. Untuk menetapkan jenis otorisasi WebSocket APIs, lihat [Mengontrol dan mengelola akses ke WebSocket API di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) *Panduan Pengembang API Gateway*.

## [APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
<a name="apigateway-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.

Log akses API Gateway memberikan informasi terperinci tentang siapa yang telah mengakses API Anda dan bagaimana penelepon mengakses API. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.

Untuk praktik terbaik lainnya, lihat [Memantau REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) di *Panduan Pengembang API Gateway*.

### Remediasi
<a name="apigateway-9-remediation"></a>

Untuk menyiapkan pencatatan akses, lihat [Menyiapkan pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*. 

## [APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
<a name="apigateway-10"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Integration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah integrasi API Gateway V2 telah mengaktifkan HTTPS untuk koneksi pribadi. Kontrol gagal jika koneksi pribadi tidak memiliki TLS yang dikonfigurasi.

VPC Links menghubungkan API Gateway ke sumber daya pribadi. Sementara VPC Links membuat konektivitas pribadi, mereka tidak secara inheren mengenkripsi data. Mengkonfigurasi TLS memastikan penggunaan HTTPS untuk end-to-end enkripsi dari klien melalui API Gateway ke backend. Tanpa TLS, lalu lintas API sensitif mengalir tidak terenkripsi di seluruh koneksi pribadi. Enkripsi HTTPS melindungi lalu lintas melalui koneksi pribadi dari intersepsi data, man-in-the-middle serangan, dan paparan kredenal. 

### Remediasi
<a name="apigateway-10-remediation"></a>

Untuk mengaktifkan enkripsi saat transit untuk koneksi pribadi dalam Integrasi API Gateway v2, lihat [Memperbarui integrasi pribadi](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) di *Panduan Pengembang Amazon API Gateway*. Konfigurasikan [konfigurasi TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) sehingga integrasi pribadi menggunakan protokol HTTPS.

# Kontrol CSPM Security Hub untuk AWS AppConfig
<a name="appconfig-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS AppConfig layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig aplikasi harus diberi tag
<a name="appconfig-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::Application`

**AWS Config aturan:** `appconfig-application-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppConfig aplikasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika aplikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aplikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-1-remediation"></a>

Untuk menambahkan tag ke AWS AppConfig aplikasi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai
<a name="appconfig-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::ConfigurationProfile`

**AWS Config aturan:** `appconfig-configuration-profile-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah profil AWS AppConfig konfigurasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika profil konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-2-remediation"></a>

Untuk menambahkan tag ke profil AWS AppConfig konfigurasi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.3] AWS AppConfig lingkungan harus ditandai
<a name="appconfig-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::Environment`

**AWS Config aturan:** `appconfig-environment-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppConfig lingkungan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika lingkungan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lingkungan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-3-remediation"></a>

Untuk menambahkan tag ke AWS AppConfig lingkungan, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai
<a name="appconfig-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::ExtensionAssociation`

**AWS Config aturan:** `appconfig-extension-association-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah asosiasi AWS AppConfig ekstensi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika asosiasi ekstensi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika asosiasi ekstensi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-4-remediation"></a>

Untuk menambahkan tag ke asosiasi AWS AppConfig ekstensi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

# Kontrol CSPM Security Hub untuk Amazon AppFlow
<a name="appflow-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AppFlow layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] AppFlow Aliran Amazon harus ditandai
<a name="appflow-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppFlow::Flow`

**AWS Config aturan:** `appflow-flow-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AppFlow aliran Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika aliran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appflow-1-remediation"></a>

Untuk menambahkan tag ke AppFlow alur Amazon, lihat [Membuat alur di Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) di *Panduan AppFlow Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk AWS App Runner
<a name="apprunner-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS App Runner layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] Layanan App Runner harus diberi tag
<a name="apprunner-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppRunner::Service`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS App Runner layanan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika layanan App Runner tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan App Runner tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="apprunner-1-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS App Runner layanan, lihat [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)di *Referensi AWS App Runner API*.

## [AppRunner.2] Konektor VPC App Runner harus diberi tag
<a name="apprunner-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppRunner::VpcConnector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konektor AWS App Runner VPC memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika konektor VPC tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konektor VPC tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="apprunner-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke konektor AWS App Runner VPC, lihat [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)di Referensi *AWS App Runner API*.

# Kontrol CSPM Security Hub untuk AWS AppSync
<a name="appsync-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS AppSync layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat
<a name="appsync-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada 9 Maret 2026. Untuk informasi lebih lanjut, lihat[Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan.

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cache AWS AppSync API dienkripsi saat istirahat. Kontrol gagal jika cache API tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="appsync-1-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi setelah mengaktifkan caching untuk API Anda AWS AppSync . Sebagai gantinya, Anda harus menghapus cache dan membuatnya kembali dengan enkripsi diaktifkan. Untuk informasi selengkapnya, lihat [Enkripsi cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) di *Panduan AWS AppSync Pengembang*.

## [AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
<a name="appsync-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Tingkat pencatatan lapangan  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Kontrol ini memeriksa apakah AWS AppSync API mengaktifkan logging tingkat bidang. **Kontrol gagal jika tingkat log penyelesai bidang diatur ke Tidak Ada.** Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat log penyelesai bidang adalah salah satu atau. `ERROR` `ALL`

Anda dapat menggunakan logging dan metrik untuk mengidentifikasi, memecahkan masalah, dan mengoptimalkan kueri GraphQL Anda. Mengaktifkan logging untuk AWS AppSync GraphQL membantu Anda mendapatkan informasi terperinci tentang permintaan dan tanggapan API, mengidentifikasi dan menanggapi masalah, dan mematuhi persyaratan peraturan.

### Remediasi
<a name="appsync-2-remediation"></a>

Untuk mengaktifkan pencatatan AWS AppSync, lihat [Pengaturan dan konfigurasi](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) di *Panduan AWS AppSync Pengembang*.

## [AppSync.4] AWS AppSync APIs GraphQL harus diberi tag
<a name="appsync-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan:** `tagged-appsync-graphqlapi` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppSync GraphQL API memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika GraphQL API tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika GraphQL API tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="appsync-4-remediation"></a>

*Untuk menambahkan tag ke AWS AppSync GraphQL API, [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)lihat di AWS AppSync Referensi API.*

## [AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API
<a name="appsync-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah aplikasi Anda menggunakan kunci API untuk berinteraksi dengan AWS AppSync GraphQL API. Kontrol gagal jika AWS AppSync GraphQL API diautentikasi dengan kunci API.

Kunci API adalah nilai hard-code dalam aplikasi Anda yang dihasilkan oleh AWS AppSync layanan saat Anda membuat titik akhir GraphQL yang tidak diautentikasi. Jika kunci API ini dikompromikan, titik akhir Anda rentan terhadap akses yang tidak diinginkan. Kecuali Anda mendukung aplikasi atau situs web yang dapat diakses publik, kami tidak menyarankan menggunakan kunci API untuk otentikasi.

### Remediasi
<a name="appsync-5-remediation"></a>

*Untuk menetapkan opsi otorisasi untuk AWS AppSync GraphQL API Anda, [lihat Otorisasi dan](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) otentikasi di Panduan Pengembang.AWS AppSync *

## [AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit
<a name="appsync-6"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada 9 Maret 2026. Untuk informasi lebih lanjut, lihat[Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan.

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::ApiCache`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cache AWS AppSync API dienkripsi saat transit. Kontrol gagal jika cache API tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara cluster dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="appsync-6-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi setelah mengaktifkan caching untuk API Anda AWS AppSync . Sebagai gantinya, Anda harus menghapus cache dan membuatnya kembali dengan enkripsi diaktifkan. Untuk informasi selengkapnya, lihat [Enkripsi cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) di *Panduan AWS AppSync Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon Athena
<a name="athena-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Athena. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat
<a name="athena-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Kategori:** Lindungi > Perlindungan data > Enkripsi data saat istirahat

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah workgroup Athena dienkripsi saat istirahat. Kontrol gagal jika workgroup Athena tidak dienkripsi saat istirahat.

Di Athena, Anda dapat membuat grup kerja untuk menjalankan kueri untuk tim, aplikasi, atau beban kerja yang berbeda. Setiap workgroup memiliki pengaturan untuk mengaktifkan enkripsi pada semua query. Anda memiliki opsi untuk menggunakan enkripsi sisi server dengan kunci terkelola Amazon Simple Storage Service (Amazon S3), enkripsi sisi server dengan kunci AWS KMS(), atau enkripsi sisi klien AWS Key Management Service dengan kunci KMS yang dikelola pelanggan. Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="athena-1-remediation"></a>

*Untuk mengaktifkan enkripsi saat istirahat untuk grup kerja Athena, lihat [Mengedit grup kerja di Panduan Pengguna](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) Amazon Athena.* Di bagian **Konfigurasi Hasil Kueri**, pilih **Enkripsi hasil kueri**.

## [Athena.2] Katalog data Athena harus diberi tag
<a name="athena-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Athena::DataCatalog`

**AWS Config aturan:** `tagged-athena-datacatalog` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah katalog data Amazon Athena memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika katalog data tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika katalog data tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="athena-2-remediation"></a>

Untuk menambahkan tag ke katalog data Athena, lihat [Menandai sumber daya Athena di Panduan Pengguna Amazon *Athena*](https://docs.aws.amazon.com/athena/latest/ug/tags.html).

## [Athena.3] Kelompok kerja Athena harus ditandai
<a name="athena-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan:** `tagged-athena-workgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah workgroup Amazon Athena memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika workgroup tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika workgroup tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="athena-3-remediation"></a>

*Untuk menambahkan tag ke workgroup Athena, lihat [Menambahkan dan menghapus tag pada grup kerja individual di Panduan Pengguna](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) Amazon Athena.*

## [Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
<a name="athena-4"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup kerja Amazon Athena telah mengaktifkan pencatatan. Kontrol gagal jika workgroup tidak mengaktifkan logging.

Log audit melacak dan memantau aktivitas sistem. Mereka menyediakan catatan peristiwa yang dapat membantu Anda mendeteksi pelanggaran keamanan, menyelidiki insiden, dan mematuhi peraturan. Log audit juga meningkatkan akuntabilitas dan transparansi organisasi Anda secara keseluruhan.

### Remediasi
<a name="athena-4-remediation"></a>

*Untuk informasi tentang mengaktifkan pencatatan untuk grup kerja Athena, [lihat CloudWatch Mengaktifkan metrik kueri di Athena di Panduan Pengguna Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html).*

# Kontrol CSPM Security Hub untuk AWS Backup
<a name="backup-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Backup layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat
<a name="backup-1"></a>

**Persyaratan terkait:** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Backup::RecoveryPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik AWS Backup pemulihan dienkripsi saat istirahat. Kontrol gagal jika titik pemulihan tidak dienkripsi saat istirahat.

Titik AWS Backup pemulihan mengacu pada salinan atau snapshot data tertentu yang dibuat sebagai bagian dari proses pencadangan. Ini merupakan momen tertentu dalam waktu ketika data dicadangkan dan berfungsi sebagai titik pemulihan jika data asli hilang, rusak, atau tidak dapat diakses. Mengenkripsi titik pemulihan cadangan menambahkan lapisan perlindungan ekstra terhadap akses yang tidak sah. Enkripsi adalah praktik terbaik untuk melindungi kerahasiaan, integritas, dan keamanan data cadangan.

### Remediasi
<a name="backup-1-remediation"></a>

*Untuk mengenkripsi titik AWS Backup pemulihan, lihat [Enkripsi untuk cadangan AWS Backup di Panduan Pengembang](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).AWS Backup *

## [Backup.2] poin AWS Backup pemulihan harus ditandai
<a name="backup-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::RecoveryPoint`

**AWS Config aturan:** `tagged-backup-recoverypoint` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah titik AWS Backup pemulihan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-2-remediation"></a>

**Untuk menambahkan tag ke titik AWS Backup pemulihan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Rencana cadangan**.

1. Pilih paket cadangan dari daftar.

1. Di bagian **Tag paket Backup**, pilih **Kelola tag**.

1. Masukkan kunci dan nilai untuk tanda tersebut. Pilih **Tambahkan tag baru** untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.3] AWS Backup brankas harus ditandai
<a name="backup-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::BackupVault`

**AWS Config aturan:** `tagged-backup-backupvault` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Backup vault memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-3-remediation"></a>

**Untuk menambahkan tag ke AWS Backup brankas**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Masukkan kunci dan nilai untuk tanda tersebut. Pilih **Tambahkan tag baru** untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.4] rencana AWS Backup laporan harus ditandai
<a name="backup-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::ReportPlan`

**AWS Config aturan:** `tagged-backup-reportplan` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rencana AWS Backup laporan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika rencana laporan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rencana laporan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-4-remediation"></a>

**Untuk menambahkan tag ke rencana AWS Backup laporan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.5] rencana AWS Backup cadangan harus ditandai
<a name="backup-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::BackupPlan`

**AWS Config aturan:** `tagged-backup-backupplan` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rencana AWS Backup cadangan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika paket cadangan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika paket cadangan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-5-remediation"></a>

**Untuk menambahkan tag ke rencana AWS Backup cadangan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

# Kontrol CSPM Security Hub untuk AWS Batch
<a name="batch-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Batch layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Antrian pekerjaan batch harus ditandai
<a name="batch-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::JobQueue`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah antrian AWS Batch pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika antrian pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antrian pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-1-remediation"></a>

Untuk menambahkan tag ke antrean pekerjaan Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.2] Kebijakan penjadwalan batch harus ditandai
<a name="batch-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::SchedulingPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kebijakan AWS Batch penjadwalan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika kebijakan penjadwalan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan penjadwalan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-2-remediation"></a>

Untuk menambahkan tag ke kebijakan penjadwalan Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.3] Lingkungan komputasi Batch harus ditandai
<a name="batch-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::ComputeEnvironment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lingkungan AWS Batch komputasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika lingkungan komputasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lingkungan komputasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-3-remediation"></a>

Untuk menambahkan tag ke lingkungan komputasi Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
<a name="batch-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::ComputeEnvironment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah properti sumber daya komputasi di lingkungan AWS Batch komputasi terkelola memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika properti sumber daya komputasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika properti sumber daya komputasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol ini tidak mengevaluasi lingkungan komputasi yang tidak dikelola, atau lingkungan terkelola yang menggunakan AWS Fargate sumber daya.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="batch-4-remediation"></a>

Untuk informasi tentang menambahkan tag untuk menghitung sumber daya di lingkungan AWS Batch komputasi terkelola, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *AWS Batch Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Certificate Manager
<a name="acm-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Certificate Manager (ACM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu
<a name="acm-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)**

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Jumlah hari di mana sertifikat ACM harus diperpanjang  |  Bilangan Bulat  |  `14` untuk `365`  |  `30`  | 

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) diperbarui dalam jangka waktu yang ditentukan. Ini memeriksa sertifikat impor dan sertifikat yang disediakan oleh ACM. Kontrol gagal jika sertifikat tidak diperpanjang dalam jangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode perpanjangan, Security Hub CSPM menggunakan nilai default 30 hari.

ACM dapat secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. Untuk sertifikat yang menggunakan validasi email, Anda harus menanggapi email validasi domain. ACM tidak secara otomatis memperbarui sertifikat yang Anda impor. Anda harus memperbarui sertifikat yang diimpor secara manual.

### Remediasi
<a name="acm-1-remediation"></a>

ACM menyediakan perpanjangan terkelola untuk SSL/TLS sertifikat yang dikeluarkan oleh Amazon. Ini berarti bahwa ACM memperbarui sertifikat Anda secara otomatis (jika Anda menggunakan validasi DNS), atau mengirimi Anda pemberitahuan email ketika kedaluwarsa sertifikat mendekati. Layanan ini disediakan untuk sertifikat ACM publik dan swasta.

**Untuk domain yang divalidasi melalui email**  
Ketika sertifikat 45 hari dari kedaluwarsa, ACM mengirimkan email kepada pemilik domain untuk setiap nama domain. Untuk memvalidasi domain dan menyelesaikan pembaruan, Anda harus menanggapi pemberitahuan email.  
*Untuk informasi selengkapnya, lihat [Perpanjangan domain yang divalidasi melalui email di Panduan](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) Pengguna.AWS Certificate Manager *

**Untuk domain yang divalidasi oleh DNS**  
ACM secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. 60 hari sebelum kedaluwarsa, ACM memverifikasi bahwa sertifikat dapat diperpanjang.  
Jika tidak dapat memvalidasi nama domain, maka ACM mengirimkan pemberitahuan bahwa validasi manual diperlukan. Ini mengirimkan pemberitahuan ini 45 hari, 30 hari, 7 hari, dan 1 hari sebelum kedaluwarsa.  
*Untuk informasi selengkapnya, lihat [Perpanjangan domain yang divalidasi oleh DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) di Panduan Pengguna.AWS Certificate Manager *

## [ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
<a name="acm-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/4.2.1

**Kategori:** Identifikasi > Inventaris > Layanan inventaris

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sertifikat RSA dikelola dengan AWS Certificate Manager menggunakan panjang kunci minimal 2.048 bit. Kontrol gagal jika panjang kunci lebih kecil dari 2.048 bit.

Kekuatan enkripsi berkorelasi langsung dengan ukuran kunci. Kami merekomendasikan panjang kunci setidaknya 2.048 bit untuk melindungi AWS sumber daya Anda karena daya komputasi menjadi lebih murah dan server menjadi lebih maju.

### Remediasi
<a name="acm-2-remediation"></a>

Panjang kunci minimum untuk sertifikat RSA yang dikeluarkan oleh ACM sudah 2.048 bit. *Untuk petunjuk tentang menerbitkan sertifikat RSA baru dengan ACM, lihat [Menerbitkan dan mengelola sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) di Panduan Pengguna.AWS Certificate Manager *

Meskipun ACM memungkinkan Anda untuk mengimpor sertifikat dengan panjang kunci yang lebih pendek, Anda harus menggunakan kunci minimal 2.048 bit untuk melewati kontrol ini. Anda tidak dapat mengubah panjang kunci setelah mengimpor sertifikat. Sebagai gantinya, Anda harus menghapus sertifikat dengan panjang kunci lebih kecil dari 2.048 bit. *Untuk informasi selengkapnya tentang mengimpor sertifikat ke ACM, lihat [Prasyarat untuk mengimpor](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) sertifikat di Panduan Pengguna.AWS Certificate Manager *

## [ACM.3] Sertifikat ACM harus ditandai
<a name="acm-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan:** `tagged-acm-certificate` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="acm-3-remediation"></a>

Untuk menambahkan tag ke sertifikat ACM, lihat [Menandai AWS Certificate Manager sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) di *AWS Certificate Manager Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk CloudFormation
<a name="cloudformation-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CloudFormation layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemberitahuan Amazon Simple Notification Service terintegrasi dengan CloudFormation tumpukan. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada pemberitahuan SNS yang terkait dengannya.

Mengonfigurasi notifikasi SNS dengan CloudFormation tumpukan Anda membantu segera memberi tahu pemangku kepentingan tentang peristiwa atau perubahan apa pun yang terjadi dengan tumpukan.

### Remediasi
<a name="cloudformation-1-remediation"></a>

Untuk mengintegrasikan CloudFormation tumpukan dan topik SNS, lihat [Memperbarui tumpukan secara langsung](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) di *AWS CloudFormation Panduan Pengguna*.

## [CloudFormation.2] CloudFormation tumpukan harus ditandai
<a name="cloudformation-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan:** `tagged-cloudformation-stack` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika tumpukan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tumpukan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudformation-2-remediation"></a>

Untuk menambahkan tag ke CloudFormation tumpukan, lihat [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)di *Referensi AWS CloudFormation API*.

## [CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
<a name="cloudformation-3"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki perlindungan terminasi yang diaktifkan. Kontrol gagal jika perlindungan terminasi tidak diaktifkan pada CloudFormation tumpukan.

CloudFormation membantu mengelola sumber daya terkait sebagai satu unit yang disebut Stack. Anda dapat mencegah tumpukan tidak sengaja dihapus dengan mengaktifkan perlindungan terminasi pada tumpukan. Jika pengguna mencoba untuk menghapus tumpukan dengan perlindungan terminasi diaktifkan, penghapusan gagal dan tumpukan, termasuk statusnya, tetap tidak berubah. Anda dapat mengatur perlindungan terminasi pada tumpukan dengan status apa pun kecuali `DELETE_IN_PROGRESS` atau`DELETE_COMPLETE`. 

**catatan**  
Mengaktifkan atau menonaktifkan perlindungan terminasi pada tumpukan meneruskan pilihan yang sama ke tumpukan bersarang milik tumpukan itu juga. Anda tidak dapat mengaktifkan atau menonaktifkan perlindungan terminasi secara langsung di tumpukan nest. Anda tidak dapat langsung menghapus tumpukan bersarang milik tumpukan yang memiliki perlindungan terminasi diaktifkan. Jika NESTED ditampilkan di sebelah nama tumpukan, tumpukan adalah tumpukan nest. Anda hanya dapat mengubah perlindungan terminasi pada tumpukan akar yang dimiliki tumpukan nest. 

### Remediasi
<a name="cloudformation-3-remediation"></a>

Untuk mengaktifkan perlindungan penghentian pada CloudFormation tumpukan, lihat [Melindungi CloudFormation tumpukan agar tidak dihapus](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) di *Panduan AWS CloudFormation Pengguna*.

## [CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
<a name="cloudformation-4"></a>

**Kategori:** Deteksi > Manajemen akses aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki peran layanan yang terkait dengannya. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada peran layanan yang terkait dengannya.

Peran eksekusi StackSets penggunaan yang dikelola layanan melalui integrasi akses terpercaya AWS Organizations. Kontrol juga menghasilkan temuan GAGAL untuk AWS CloudFormation tumpukan yang dibuat oleh service-managed StackSets karena tidak ada peran layanan yang terkait dengannya. Karena cara StackSets autentikasi yang dikelola layanan, `roleARN` bidang tidak dapat diisi untuk tumpukan ini.

Menggunakan peran layanan dengan CloudFormation tumpukan membantu menerapkan akses hak istimewa paling sedikit dengan memisahkan izin antara pengguna yang creates/updates menumpuk dan izin yang diperlukan oleh sumber daya. CloudFormation create/update Ini mengurangi risiko eskalasi hak istimewa dan membantu menjaga batas-batas keamanan antara peran operasional yang berbeda.

**catatan**  
Penghapusan peran layanan yang melekat pada tumpukan setelah tumpukan dibuat tidak dapat dilakukan. Pengguna lain yang memiliki izin untuk melakukan operasi pada tumpukan ini dapat menggunakan peran ini, terlepas dari apakah pengguna tersebut memiliki `iam:PassRole` izin atau tidak. Jika peran tersebut mencakup izin yang seharusnya tidak dimiliki pengguna, Anda dapat secara tidak sengaja meningkatkan izin pengguna. Pastikan peran memberikan keistimewaan paling rendah.

### Remediasi
<a name="cloudformation-4-remediation"></a>

Untuk mengaitkan peran layanan dengan CloudFormation tumpukan, lihat [peran CloudFormation layanan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) di *Panduan AWS CloudFormation Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon CloudFront
<a name="cloudfront-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi CloudFront layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
<a name="cloudfront-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan asal S3 dikonfigurasi untuk mengembalikan objek tertentu yang merupakan objek root default. Kontrol gagal jika CloudFront distribusi menggunakan asal S3 dan tidak memiliki objek root default yang dikonfigurasi. Kontrol ini tidak berlaku untuk CloudFront distribusi yang menggunakan custom origin.

Pengguna terkadang meminta URL root distribusi alih-alih objek dalam distribusi. Ketika ini terjadi, menentukan objek root default dapat membantu Anda menghindari mengekspos konten distribusi web Anda.

### Remediasi
<a name="cloudfront-1-remediation"></a>

Untuk mengonfigurasi objek root default untuk CloudFront distribusi, lihat [Cara menentukan objek root default](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
<a name="cloudfront-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengharuskan pemirsa untuk menggunakan HTTPS secara langsung atau menggunakan pengalihan. Kontrol gagal jika `ViewerProtocolPolicy` disetel ke `allow-all` untuk `defaultCacheBehavior` atau untuk`cacheBehaviors`.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

### Remediasi
<a name="cloudfront-3-remediation"></a>

Untuk mengenkripsi CloudFront distribusi saat transit, lihat [Memerlukan HTTPS untuk komunikasi antara pemirsa dan CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
<a name="cloudfront-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi dengan grup asal yang memiliki dua atau lebih asal.

CloudFront origin failover dapat meningkatkan ketersediaan. Origin failover secara otomatis mengalihkan lalu lintas ke asal sekunder jika asal primer tidak tersedia atau jika mengembalikan kode status respons HTTP tertentu.

### Remediasi
<a name="cloudfront-4-remediation"></a>

Untuk mengonfigurasi failover asal untuk CloudFront distribusi, lihat [Membuat grup asal](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
<a name="cloudfront-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan akses server diaktifkan pada CloudFront distribusi. Kontrol gagal jika pencatatan akses tidak diaktifkan untuk distribusi. Kontrol ini hanya mengevaluasi apakah pencatatan standar (lama) diaktifkan untuk distribusi.

CloudFront log akses memberikan informasi rinci tentang setiap permintaan pengguna yang CloudFront menerima. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Untuk informasi selengkapnya tentang menganalisis log akses, lihat [Kueri CloudFront log Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) di *Panduan Pengguna Amazon Athena*.

### Remediasi
<a name="cloudfront-5-remediation"></a>

Untuk mengonfigurasi pencatatan standar (lama) untuk CloudFront distribusi, lihat [Mengonfigurasi pencatatan standar (lama)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) di Panduan * CloudFront Pengembang Amazon*.

## [CloudFront.6] CloudFront distribusi harus mengaktifkan WAF
<a name="cloudfront-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi terkait dengan AWS WAF Classic atau AWS WAF web ACLs. Kontrol gagal jika distribusi tidak terkait dengan ACL web.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan CloudFront distribusi Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="cloudfront-6-remediation"></a>

Untuk mengaitkan ACL AWS WAF web dengan CloudFront distribusi, lihat [Menggunakan AWS WAF untuk mengontrol akses ke konten Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
<a name="cloudfront-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi menggunakan SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS sertifikat default.

 Kustom SSL/TLS memungkinkan pengguna Anda untuk mengakses konten dengan menggunakan nama domain alternatif. Anda dapat menyimpan sertifikat khusus di AWS Certificate Manager (disarankan), atau di IAM. 

### Remediasi
<a name="cloudfront-7-remediation"></a>

*Untuk menambahkan nama domain alternatif untuk CloudFront distribusi menggunakan sertifikat SSL/TLS kustom, lihat [Menambahkan nama domain alternatif di](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) Panduan Pengembang Amazon. CloudFront *

## [CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
<a name="cloudfront-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan SSL/TLS sertifikat kustom dan dikonfigurasi untuk menggunakan SNI untuk melayani permintaan HTTPS. Kontrol ini gagal jika SSL/TLS sertifikat khusus dikaitkan tetapi metode SSL/TLS dukungan adalah alamat IP khusus.

Indikasi Nama Server (Ser Server Name Indication atau SNI) adalah ekstensi untuk protokol TLS yang didukung oleh browser dan klien yang dirilis setelah tahun 2010. Jika Anda mengonfigurasi CloudFront untuk melayani permintaan HTTPS menggunakan SNI, CloudFront kaitkan nama domain alternatif Anda dengan alamat IP untuk setiap lokasi tepi. Saat penampil mengirimkan permintaan HTTPS untuk konten Anda, DNS mengirimkan permintaan ke alamat IP untuk lokasi tepi yang benar. Alamat IP ke nama domain Anda ditentukan selama negosiasi SSL/TLS jabat tangan; alamat IP tidak didedikasikan untuk distribusi Anda. 

### Remediasi
<a name="cloudfront-8-remediation"></a>

Untuk mengonfigurasi CloudFront distribusi agar menggunakan SNI untuk melayani permintaan HTTPS, lihat [Menggunakan SNI untuk Melayani Permintaan HTTPS (berfungsi untuk Sebagian Besar Klien)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) di Panduan CloudFront Pengembang. Untuk informasi tentang sertifikat SSL kustom, lihat [Persyaratan untuk menggunakan SSL/TLS sertifikat dengan CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).

## [CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
<a name="cloudfront-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengenkripsi lalu lintas ke asal kustom. Kontrol ini gagal untuk CloudFront distribusi yang kebijakan protokol asalnya memungkinkan 'hanya http'. Kontrol ini juga gagal jika kebijakan protokol asal distribusi adalah 'penampil pencocokan' sedangkan kebijakan protokol penampil adalah 'izinkan semua'.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyadapan atau manipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. 

### Remediasi
<a name="cloudfront-9-remediation"></a>

Untuk memperbarui Kebijakan Protokol Asal agar memerlukan enkripsi untuk CloudFront sambungan, lihat [Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus
<a name="cloudfront-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan protokol SSL yang tidak digunakan lagi untuk komunikasi HTTPS antara CloudFront lokasi tepi dan asal kustom Anda. Kontrol ini gagal jika CloudFront distribusi memiliki `CustomOriginConfig` where `OriginSslProtocols` include`SSLv3`.

Pada tahun 2015, Internet Engineering Task Force (IETF) secara resmi mengumumkan bahwa SSL 3.0 harus dihentikan karena protokol tidak cukup aman. Disarankan agar Anda menggunakan TLSv1 .2 atau yang lebih baru untuk komunikasi HTTPS ke asal kustom Anda. 

### Remediasi
<a name="cloudfront-10-remediation"></a>

Untuk memperbarui Protokol SSL Asal untuk CloudFront distribusi, lihat [Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda di Panduan Pengembang](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) *Amazon CloudFront *.

## [CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
<a name="cloudfront-12"></a>

**Persyaratan terkait:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menunjuk ke asal Amazon S3 yang tidak ada. Kontrol gagal untuk CloudFront distribusi jika asal dikonfigurasi untuk menunjuk ke bucket yang tidak ada. Kontrol ini hanya berlaku untuk CloudFront distribusi di mana bucket S3 tanpa hosting situs web statis adalah asal S3.

Ketika CloudFront distribusi di akun Anda dikonfigurasi untuk menunjuk ke bucket yang tidak ada, pihak ketiga yang jahat dapat membuat bucket yang direferensikan dan menyajikan konten mereka sendiri melalui distribusi Anda. Sebaiknya periksa semua asal terlepas dari perilaku perutean untuk memastikan bahwa distribusi Anda mengarah ke asal yang sesuai. 

### Remediasi
<a name="cloudfront-12-remediation"></a>

Untuk mengubah CloudFront distribusi agar mengarah ke asal baru, lihat [Memperbarui distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
<a name="cloudfront-13"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan asal Amazon S3 memiliki kontrol akses asal (OAC) yang dikonfigurasi. Kontrol gagal jika OAC tidak dikonfigurasi untuk CloudFront distribusi.

Saat menggunakan bucket S3 sebagai asal CloudFront distribusi Anda, Anda dapat mengaktifkan OAC. Ini memungkinkan akses ke konten dalam bucket hanya melalui CloudFront distribusi yang ditentukan, dan melarang akses langsung dari bucket atau distribusi lain. Meskipun CloudFront mendukung Origin Access Identity (OAI), OAC menawarkan fungsionalitas tambahan, dan distribusi menggunakan OAI dapat bermigrasi ke OAC. Meskipun OAI menyediakan cara aman untuk mengakses asal S3, ia memiliki keterbatasan, seperti kurangnya dukungan untuk konfigurasi kebijakan granular dan untuk HTTP/HTTPS permintaan yang menggunakan metode POST Wilayah AWS yang memerlukan AWS Signature Version 4 (SigV4). OAI juga tidak mendukung enkripsi dengan AWS Key Management Service. OAC didasarkan pada praktik AWS terbaik menggunakan prinsip layanan IAM untuk mengautentikasi dengan asal-usul S3. 

### Remediasi
<a name="cloudfront-13-remediation"></a>

*Untuk mengonfigurasi OAC untuk CloudFront distribusi dengan asal S3, lihat [Membatasi akses ke asal Amazon S3 di](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) Panduan Pengembang Amazon. CloudFront *

## [CloudFront.14] CloudFront distribusi harus ditandai
<a name="cloudfront-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan:** `tagged-cloudfront-distribution` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah CloudFront distribusi Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika distribusi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika distribusi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudfront-14-remediation"></a>

Untuk menambahkan tag ke CloudFront distribusi, lihat [Menandai CloudFront distribusi Amazon di Panduan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) *Pengembang Amazon*.

## [CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
<a name="cloudfront-15"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan. Kontrol gagal jika CloudFront distribusi tidak dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan.

Jika Anda mengonfigurasi CloudFront distribusi Amazon agar pemirsa menggunakan HTTPS untuk mengakses konten, Anda harus memilih kebijakan keamanan dan menentukan versi SSL/TLS protokol minimum yang akan digunakan. Ini menentukan versi protokol mana yang CloudFront digunakan untuk berkomunikasi dengan pemirsa, dan sandi yang CloudFront digunakan untuk mengenkripsi komunikasi. Sebaiknya gunakan kebijakan keamanan terbaru yang CloudFront menyediakan. Ini memastikan bahwa CloudFront menggunakan cipher suite terbaru untuk mengenkripsi data dalam perjalanan antara penampil dan distribusi. CloudFront

**catatan**  
Kontrol ini menghasilkan temuan hanya untuk CloudFront distribusi yang dikonfigurasi untuk menggunakan sertifikat SSL khusus dan tidak dikonfigurasi untuk mendukung klien lama.

### Remediasi
<a name="cloudfront-15-remediation"></a>

Untuk informasi tentang mengonfigurasi kebijakan keamanan untuk CloudFront distribusi, lihat [Memperbarui distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) di *Panduan CloudFront Pengembang Amazon*. Saat Anda mengonfigurasi kebijakan keamanan untuk distribusi, pilih kebijakan keamanan terbaru.

## [CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda
<a name="cloudfront-16"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan URL AWS Lambda fungsi sebagai asal mengaktifkan kontrol akses asal (OAC). Kontrol gagal jika CloudFront distribusi memiliki URL fungsi Lambda sebagai asal dan OAC tidak diaktifkan.

URL AWS Lambda fungsi adalah titik akhir HTTPS khusus untuk fungsi Lambda. Jika URL fungsi Lambda adalah asal untuk CloudFront distribusi, URL fungsi harus dapat diakses publik. Oleh karena itu, sebagai praktik terbaik keamanan, Anda harus membuat OAC dan menambahkannya ke URL fungsi Lambda dalam distribusi. OAC menggunakan prinsip layanan IAM untuk mengautentikasi permintaan antara dan URL fungsi. CloudFront Ini juga mendukung penggunaan kebijakan berbasis sumber daya untuk memungkinkan pemanggilan fungsi hanya jika permintaan atas nama distribusi yang ditentukan dalam kebijakan. CloudFront 

### Remediasi
<a name="cloudfront-16-remediation"></a>

*Untuk informasi tentang mengonfigurasi OAC untuk CloudFront distribusi Amazon yang menggunakan URL fungsi Lambda sebagai asal, lihat [Membatasi akses ke asal URL AWS Lambda fungsi di Panduan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Pengembang Amazon. CloudFront *

## [CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie
<a name="cloudfront-17"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan grup kunci tepercaya untuk URL yang ditandatangani atau otentikasi cookie yang ditandatangani. Kontrol gagal jika CloudFront distribusi menggunakan penandatangan tepercaya, atau jika distribusi tidak memiliki otentikasi yang dikonfigurasi.

Untuk menggunakan cookie yang ditandatangani URLs atau ditandatangani, Anda memerlukan penandatangan. Penandatangan adalah grup kunci tepercaya yang Anda buat CloudFront, atau AWS akun yang berisi CloudFront key pair. Kami menyarankan Anda menggunakan grup kunci tepercaya karena dengan grup CloudFront kunci, Anda tidak perlu menggunakan pengguna root AWS akun untuk mengelola kunci publik untuk cookie yang CloudFront ditandatangani URLs dan ditandatangani.

**catatan**  
Kontrol ini tidak mengevaluasi distribusi multi-penyewa. CloudFront `(connectionMode=tenant-only)`

### Remediasi
<a name="cloudfront-17-remediation"></a>

Untuk informasi tentang menggunakan grup kunci tepercaya dengan tanda tangan URLs dan cookie, lihat [Menggunakan grup kunci tepercaya](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) di *Panduan CloudFront Pengembang Amazon*.

# Kontrol CSPM Security Hub untuk AWS CloudTrail
<a name="cloudtrail-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS CloudTrail layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis
<a name="cloudtrail-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.1, Tolok Ukur AWS Yayasan CIS v1.2.0/2.1, Tolok Ukur Yayasan CIS v1.4.0/3.1, Tolok Ukur AWS Yayasan CIS v3.0.0/3.1, (4), (26 AWS ), (9),, (9), (22) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `readWriteType`: `ALL` (tidak dapat disesuaikan)

  `includeManagementEvents`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah ada setidaknya satu AWS CloudTrail jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. Kontrol gagal jika CloudTrail dinonaktifkan atau jika tidak ada setidaknya satu CloudTrail jejak yang menangkap peristiwa manajemen baca dan tulis.

AWS CloudTrail merekam panggilan AWS API untuk akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup informasi berikut:
+ Identitas pemanggil API
+ Waktu panggilan API
+ Alamat IP sumber pemanggil API
+ Permintaan parameter
+ Elemen respons yang dikembalikan oleh Layanan AWS

CloudTrail menyediakan riwayat panggilan AWS API untuk akun, termasuk panggilan API yang dibuat dari Konsol Manajemen AWS, AWS SDKs, alat baris perintah. Riwayat ini juga mencakup panggilan API dari tingkat yang lebih tinggi Layanan AWS seperti. AWS CloudFormation

Riwayat panggilan AWS API yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. Jalur Multi-Region juga memberikan manfaat berikut.
+ Jejak multi-wilayah membantu mendeteksi aktivitas tak terduga yang terjadi di Wilayah yang tidak digunakan.
+ Jejak multi-wilayah memastikan bahwa pencatatan peristiwa layanan global diaktifkan untuk jejak secara default. Pencatatan peristiwa layanan global mencatat peristiwa yang dihasilkan oleh layanan AWS global.
+ Untuk jejak Multi-wilayah, acara manajemen untuk semua operasi baca dan tulis memastikan bahwa operasi manajemen CloudTrail catatan pada semua sumber daya dalam file Akun AWS.

Secara default, CloudTrail jalur yang dibuat menggunakan jalur Multi-wilayah. Konsol Manajemen AWS 

### Remediasi
<a name="cloudtrail-1-remediation"></a>

Untuk membuat jejak Multi-wilayah baru CloudTrail, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Pengaturan tambahan, Validasi file log  |  Diaktifkan  | 
|  Pilih peristiwa log, Acara manajemen, aktivitas API  |  **Baca** dan **Tulis**. Kosongkan kotak centang untuk pengecualian.  | 

Untuk memperbarui jejak yang ada, lihat [Memperbarui jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) di *Panduan AWS CloudTrail Pengguna*. Di **acara Manajemen**, untuk **aktivitas API**, pilih **Baca** dan **Tulis**.

## [CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat
<a name="cloudtrail-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.5, Tolok Ukur Yayasan CIS v1.2.0/2.7, Tolok Ukur AWS Yayasan CIS v1.4.0/3.7, Tolok Ukur AWS Yayasan CIS v3.0.0/3.5, (1), 3, 8, 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6), Nist.800-171.r2 NIST.800-53.r5 SC-2 3.3.8, PCI DSS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 v3.2.1/3.4, PCI DSS v4.0.1/10.3.2 AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudTrail dikonfigurasi untuk menggunakan enkripsi server-side encryption (SSE). AWS KMS key Kontrol gagal jika `KmsKeyId` tidak ditentukan.

Untuk lapisan keamanan tambahan untuk file CloudTrail log sensitif Anda, Anda harus menggunakan [enkripsi sisi server dengan AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) untuk file CloudTrail log Anda untuk enkripsi saat istirahat. Perhatikan bahwa secara default, file log yang dikirimkan CloudTrail ke bucket Anda dienkripsi oleh enkripsi [sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)). 

### Remediasi
<a name="cloudtrail-2-remediation"></a>

*Untuk mengaktifkan enkripsi SSE-KMS untuk file CloudTrail log, lihat [Memperbarui jejak untuk menggunakan kunci KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) di Panduan Pengguna.AWS CloudTrail *

## [CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan
<a name="cloudtrail-3"></a>

**Persyaratan terkait:** Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.3 2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudTrail jejak diaktifkan di Anda Akun AWS. Kontrol gagal jika akun Anda tidak memiliki setidaknya satu CloudTrail jejak yang diaktifkan.

Namun, beberapa AWS layanan tidak mengaktifkan pencatatan semua APIs dan peristiwa. Anda harus menerapkan jejak audit tambahan selain CloudTrail dan meninjau dokumentasi untuk setiap layanan di [Layanan dan Integrasi yang CloudTrail Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Remediasi
<a name="cloudtrail-3-remediation"></a>

Untuk memulai CloudTrail dan membuat jejak, lihat [AWS CloudTrail tutorial Memulai dengan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) di *Panduan AWS CloudTrail Pengguna*.

## [CloudTrail.4] validasi file CloudTrail log harus diaktifkan
<a name="cloudtrail-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.2, Tolok Ukur Yayasan CIS v1.2.0/2.2, Tolok Ukur Yayasan CIS v1.4.0/3.2, Tolok Ukur AWS Yayasan CIS v3.0.0/3.2, NIST.800-53.R5 AU-9, NIST.800-53.R5 SI-4, NIST.800-53.r5 SI-7 (1), Nist.800-53.r5 7 (3), NIST.800-53.R5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2 AWS AWS 

**Kategori:** Perlindungan data > Integritas data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah validasi integritas file log diaktifkan pada CloudTrail jejak.

CloudTrail validasi file log membuat file digest yang ditandatangani secara digital yang berisi hash dari setiap log yang menulis ke CloudTrail Amazon S3. Anda dapat menggunakan file intisari ini untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan log.

Security Hub CSPM merekomendasikan agar Anda mengaktifkan validasi file di semua jalur. Validasi file log memberikan pemeriksaan integritas tambahan CloudTrail log.

### Remediasi
<a name="cloudtrail-4-remediation"></a>

*Untuk mengaktifkan validasi file CloudTrail log, lihat [Mengaktifkan validasi integritas file log CloudTrail di Panduan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) Pengguna.AWS CloudTrail *

## [CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch
<a name="cloudtrail-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, Tolok Ukur Yayasan CIS v1.2.0/2.4, Tolok Ukur AWS Yayasan CIS v1.4.0/3.4, (4), (26), (9),, (9), Nist.800-53.r5 SI-20, Nist.800-53.r5 SI-3 (8), Nist.800-53.r5 SI-3 (8), Nist.800-53.r5 SI-3 NIST.800-53.r5 AC-2 (8) .800-53.R5 SI-4 NIST.800-53.r5 AC-4 (20), NIST.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (5) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8) AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudTrail jejak dikonfigurasi untuk mengirim log ke CloudWatch Log. Kontrol gagal jika `CloudWatchLogsLogGroupArn` properti jejak kosong.

CloudTrail merekam panggilan AWS API yang dibuat di akun tertentu. Informasi yang direkam meliputi yang berikut:
+ Identitas pemanggil API
+ Waktu panggilan API
+ Alamat IP sumber pemanggil API
+ Parameter permintaan
+ Elemen respons yang dikembalikan oleh Layanan AWS

CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat menangkap CloudTrail log dalam bucket S3 tertentu untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Log.

Untuk jejak yang diaktifkan di semua Wilayah dalam akun, CloudTrail kirimkan file log dari semua Wilayah tersebut ke grup CloudWatch log Log.

Security Hub CSPM merekomendasikan agar Anda mengirim CloudTrail log ke CloudWatch Log. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan bahwa aktivitas akun ditangkap, dipantau, dan diwaspadai dengan tepat. Anda dapat menggunakan CloudWatch Log untuk mengatur ini dengan Anda Layanan AWS. Rekomendasi ini tidak menghalangi penggunaan solusi yang berbeda.

Mengirim CloudTrail CloudWatch log ke Log memfasilitasi pencatatan aktivitas real-time dan historis berdasarkan pengguna, API, sumber daya, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk membuat alarm dan pemberitahuan untuk aktivitas akun anomali atau sensitivitas.

### Remediasi
<a name="cloudtrail-5-remediation"></a>

Untuk mengintegrasikan CloudTrail dengan CloudWatch Log, lihat [Mengirim peristiwa ke CloudWatch Log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) di *Panduan AWS CloudTrail Pengguna*.

## [CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik
<a name="cloudtrail-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/2.3, Tolok Ukur Yayasan CIS v1.4.0/3.3, PCI DSS AWS v4.0.1/1.4.4

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

CloudTrail mencatat catatan setiap panggilan API yang dilakukan di akun Anda. File log ini disimpan dalam ember S3. CIS merekomendasikan agar kebijakan bucket S3, atau daftar kontrol akses (ACL), diterapkan pada bucket S3 yang CloudTrail mencatat untuk mencegah akses publik ke log. CloudTrail Mengizinkan akses publik ke konten CloudTrail log dapat membantu musuh dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM terlebih dahulu menggunakan logika kustom untuk mencari bucket S3 tempat CloudTrail log Anda disimpan. Kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah bucket dapat diakses publik.

Jika Anda menggabungkan log Anda ke dalam satu bucket S3 terpusat, maka Security Hub CSPM hanya menjalankan pemeriksaan terhadap akun dan Wilayah tempat bucket S3 terpusat berada. Untuk akun dan Wilayah lain, status kontrolnya adalah **Tidak ada data**.

Jika bucket dapat diakses publik, cek akan menghasilkan temuan yang gagal.

### Remediasi
<a name="cloudtrail-6-remediation"></a>

Untuk memblokir akses publik ke bucket CloudTrail S3, lihat [Mengonfigurasi blokir setelan akses publik untuk bucket S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Layanan *Penyimpanan Sederhana Amazon*. Pilih keempat Pengaturan Akses Publik Blok Amazon S3.

## [CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
<a name="cloudtrail-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/2.6, Tolok Ukur Yayasan CIS v1.4.0/3.6, Tolok Ukur AWS Yayasan CIS v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Pencatatan akses bucket S3 menghasilkan log yang berisi catatan akses untuk setiap permintaan yang dibuat ke bucket S3 Anda. Catatan log akses berisi rincian tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan berfungsi, dan waktu dan tanggal permintaan diproses.

CIS menyarankan agar Anda mengaktifkan pencatatan akses bucket pada bucket CloudTrail S3.

Dengan mengaktifkan pencatatan bucket S3 pada bucket S3 target, Anda dapat menangkap semua peristiwa yang mungkin memengaruhi objek dalam bucket target. Mengkonfigurasi log untuk ditempatkan di bucket terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja keamanan dan respons insiden.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM pertama-tama menggunakan logika kustom untuk mencari bucket tempat CloudTrail log Anda disimpan dan kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah logging diaktifkan.

Jika CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu bucket Amazon S3 tujuan, Security Hub CSPM mengevaluasi kontrol ini hanya terhadap bucket tujuan di Wilayah tempatnya berada. Ini merampingkan temuan Anda. Namun, Anda harus mengaktifkan CloudTrail semua akun yang mengirimkan log ke bucket tujuan. Untuk semua akun kecuali akun yang menyimpan bucket tujuan, status kontrolnya adalah **Tidak ada data**.

### Remediasi
<a name="cloudtrail-7-remediation"></a>

Untuk mengaktifkan pencatatan akses server untuk bucket CloudTrail S3 Anda, lihat [Mengaktifkan log akses server Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) Pengguna Layanan *Penyimpanan Sederhana Amazon*.

## [CloudTrail.9] CloudTrail jejak harus ditandai
<a name="cloudtrail-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan:** `tagged-cloudtrail-trail` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS CloudTrail jejak memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika jejak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jejak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudtrail-9-remediation"></a>

Untuk menambahkan tag ke CloudTrail jejak, lihat [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)di *Referensi AWS CloudTrail API*.

## [CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
<a name="cloudtrail-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::EventDataStore`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika penyimpanan data peristiwa tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 3 item)  |  1—3 kunci ARNs KMS yang ada. Sebagai contoh: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah penyimpanan data acara AWS CloudTrail Lake dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika penyimpanan data peristiwa tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Secara default, AWS CloudTrail Lake mengenkripsi penyimpanan data peristiwa dengan kunci terkelola Amazon S3 (SSE-S3), menggunakan algoritma AES-256. Untuk kontrol tambahan, Anda dapat mengonfigurasi CloudTrail Lake untuk mengenkripsi penyimpanan data peristiwa dengan pelanggan yang dikelola AWS KMS key (SSE-KMS) sebagai gantinya. Kunci KMS yang dikelola pelanggan adalah kunci AWS KMS key yang Anda buat, miliki, dan kelola di Anda Akun AWS. Anda memiliki kontrol penuh atas jenis kunci KMS ini. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci. Anda dapat menggunakan kunci KMS yang dikelola pelanggan dalam operasi kriptografi untuk CloudTrail data Anda dan penggunaan audit dengan CloudTrail log.

### Remediasi
<a name="cloudtrail-10-remediation"></a>

Untuk informasi tentang mengenkripsi penyimpanan data peristiwa AWS CloudTrail Lake dengan AWS KMS key yang Anda tentukan, lihat [Memperbarui penyimpanan data peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) di *AWS CloudTrail Panduan Pengguna*. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah.

# Kontrol CSPM Security Hub untuk Amazon CloudWatch
<a name="cloudwatch-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
<a name="cloudwatch-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.1, Tolok Ukur Yayasan CIS v1.2.0/3.3, Tolok Ukur Yayasan CIS v1.4.0/1.7, Tolok Ukur AWS Yayasan CIS v1.4.0/4.3, Nist.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS 

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam file Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk [melakukan tugas manajemen akun dan layanan](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Terapkan kebijakan AWS Identity and Access Management (IAM) secara langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat [Membuat pengguna dan grup admin IAM pertama Anda di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-1-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah
<a name="cloudwatch-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.1, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-2-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
<a name="cloudwatch-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi oleh MFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-3-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM
<a name="cloudwatch-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.4, Tolok Ukur Yayasan CIS v1.4.0/4.4, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada kebijakan IAM. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-4-remediation"></a>

**catatan**  
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API IAM.

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi
<a name="cloudwatch-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.5, Tolok Ukur Yayasan CIS v1.4.0/4.5, Nist.800-171.r2 3.3.8, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-5-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi
<a name="cloudwatch-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.6, Tolok Ukur Yayasan CIS v1.4.0/4.6, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-6-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan
<a name="cloudwatch-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.7, Tolok Ukur Yayasan CIS v1.4.0/4.7, Nist.800-171.r2 3.13.10, Nist.800-171.r2 3.13.16, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi penghapusan dinonaktifkan atau terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik. Kontrol juga gagal jika `ExcludeManagementEventSources` berisi`kms.amazonaws.com`.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-7-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
<a name="cloudwatch-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.8, Tolok Ukur Yayasan CIS v1.4.0/4.8, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-8-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi
<a name="cloudwatch-9"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.9, Tolok Ukur Yayasan CIS v1.4.0/4.9, Nist.800-171.r2 3.3.8, Nist.800-171.r2 AWS 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan AWS Config konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-9-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
<a name="cloudwatch-10"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.10, Tolok Ukur Yayasan CIS v1.4.0/4.10, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar di VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-10-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)
<a name="cloudwatch-11"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.11, Tolok Ukur Yayasan CIS v1.4.0/4.11, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLs digunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet dalam VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk NACLs perubahan. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-11-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan
<a name="cloudwatch-12"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.12, Tolok Ukur Yayasan CIS v1.4.0/4.12, Nist.800-171.r2 3.3.1, AWS Nist.800-171.r2 3.13.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi perbatasan VPC melalui jalur yang terkendali.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-12-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
<a name="cloudwatch-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.13, Tolok Ukur Yayasan CIS v1.4.0/4.13, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-13-remediation"></a>

**catatan**  
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API Amazon Elastic Compute Cloud (EC2).

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
<a name="cloudwatch-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.14, Tolok Ukur Yayasan CIS v1.4.0/4.14, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC di akun, dan Anda dapat membuat koneksi peer antara dua VPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk VPCs perubahan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-14-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
<a name="cloudwatch-15"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, Nist.800-53.R5 IR-4 (1), Nist.800-53.R5 IR-4 (5), Nist.800-53.R5 SI-2, Nist.800-53.r5 SI-20, Nist.800-53.R5 SI-4 (12), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 00-171.r2 3.3.4, Nist.800-171.r2 3.14.6

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudWatch::Alarm`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`ALARM`.  |  Boolean  |  Tidak dapat disesuaikan  |  `true`  | 
|  `insufficientDataActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`INSUFFICIENT_DATA`.  |  Boolean  |  `true` atau `false`  |  `false`  | 
|  `okActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`OK`.  |  Boolean  |  `true` atau `false`  |  `false`  | 

Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk `ALARM` status. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk `ALARM` status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk `OK` status `INSUFFICIENT_DATA` atau.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:  
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.

Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan [CloudWatch.17](#cloudwatch-17) berfokus pada status aktivasi tindakan CloudWatch alarm.

Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau beberapa pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (Amazon SNS).

### Remediasi
<a name="cloudwatch-15-remediation"></a>

Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.

## [CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
<a name="cloudwatch-16"></a>

**Kategori:** Identifikasi > Logging

**Persyaratan terkait:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Logs::LogGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log  |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub CSPM menggunakan nilai default 365 hari.

CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), Amazon Route 53 AWS CloudTrail, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.

### Remediasi
<a name="cloudwatch-16-remediation"></a>

Untuk mengonfigurasi setelan penyimpanan [log, lihat Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) di *Panduan CloudWatch Pengguna Amazon*.

## [CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan
<a name="cloudwatch-17"></a>

**Kategori:** Deteksi > Layanan deteksi

**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudWatch::Alarm`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (`ActionEnabled`harus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:  
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.

Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan [CloudWatch.15](#cloudwatch-15) berfokus pada apakah `ALARM` tindakan apa pun dikonfigurasi dalam CloudWatch alarm.

Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.

### Remediasi
<a name="cloudwatch-17-remediation"></a>

**Untuk mengaktifkan aksi CloudWatch alarm (konsol)**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Alarm, pilih **Semua** alarm**.

1. Pilih alarm yang ingin Anda aktifkan tindakan.

1. **Untuk **Tindakan**, pilih **Tindakan alarm — baru, lalu pilih Aktifkan**.**

Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk CodeArtifact
<a name="codeartifact-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CodeArtifact layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact repositori harus diberi tag
<a name="codeartifact-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeArtifact::Repository`

**AWS Config aturan:** `tagged-codeartifact-repository` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS CodeArtifact repositori memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika repositori tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika repositori tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="codeartifact-1-remediation"></a>

*Untuk menambahkan tag ke CodeArtifact repositori, lihat [Tag repositori CodeArtifact di Panduan Pengguna](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html).AWS CodeArtifact *

# Kontrol CSPM Security Hub untuk CodeBuild
<a name="codebuild-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CodeBuild layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
<a name="codebuild-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SA-3, PCI DSS v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah URL repositori sumber Bitbucket AWS CodeBuild proyek berisi token akses pribadi atau nama pengguna dan kata sandi. Kontrol gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan kata sandi.

**catatan**  
Kontrol ini mengevaluasi sumber primer dan sumber sekunder dari proyek CodeBuild pembangunan. Untuk informasi selengkapnya tentang sumber proyek, lihat [Beberapa sumber input dan sampel artefak keluaran](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) di *Panduan AWS CodeBuild Pengguna*.

Kredensi login tidak boleh disimpan atau ditransmisikan dalam teks yang jelas atau muncul di URL repositori sumber. Alih-alih token akses pribadi atau kredensi masuk, Anda harus mengakses penyedia sumber Anda CodeBuild, dan mengubah URL repositori sumber Anda agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensi masuk dapat mengakibatkan paparan data yang tidak diinginkan atau akses yang tidak sah.

### Remediasi
<a name="codebuild-1-remediation"></a>

Anda dapat memperbarui CodeBuild proyek Anda untuk digunakan OAuth.

**Untuk menghapus otentikasi dasar/(GitHub) Token Akses Pribadi dari sumber CodeBuild proyek**

1. Buka CodeBuild konsol di [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Pilih proyek build yang berisi token akses pribadi atau nama pengguna dan kata sandi.

1. Dari **Edit**, pilih **Sumber**.

1. Pilih **Putuskan sambungan GitHub dari/Bitbucket**.

1. Pilih **Connect menggunakan OAuth**, lalu pilih **Connect to GitHub/Bitbucket**.

1. Saat diminta, pilih **otorisasi yang sesuai**.

1. Konfigurasikan ulang URL repositori Anda dan pengaturan konfigurasi tambahan, sesuai kebutuhan.

1. Pilih **Perbarui sumber**.

Untuk informasi selengkapnya, lihat [CodeBuild menggunakan sampel berbasis kasus](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) di *AWS CodeBuild Panduan Pengguna*.

## [CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
<a name="codebuild-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 IA-5 (7),, PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah proyek berisi variabel lingkungan `AWS_ACCESS_KEY_ID` dan`AWS_SECRET_ACCESS_KEY`.

Kredensi otentikasi `AWS_ACCESS_KEY_ID` dan tidak `AWS_SECRET_ACCESS_KEY` boleh disimpan dalam teks yang jelas, karena ini dapat menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.

### Remediasi
<a name="codebuild-2-remediation"></a>

Untuk menghapus variabel lingkungan dari CodeBuild proyek, lihat [Mengubah setelan proyek build AWS CodeBuild di](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Panduan AWS CodeBuild Pengguna*. Pastikan tidak ada yang dipilih untuk **variabel Lingkungan**.

Anda dapat menyimpan variabel lingkungan dengan nilai sensitif di AWS Systems Manager Parameter Store atau AWS Secrets Manager kemudian mengambilnya dari spesifikasi build Anda. Untuk petunjuk, lihat kotak berlabel **Penting** di [bagian Lingkungan](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) di *Panduan AWS CodeBuild Pengguna*.

## [CodeBuild.3] Log CodeBuild S3 harus dienkripsi
<a name="codebuild-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah log Amazon S3 untuk AWS CodeBuild proyek dienkripsi. Kontrol gagal jika enkripsi dinonaktifkan untuk log S3 untuk sebuah CodeBuild proyek.

Enkripsi data saat istirahat adalah praktik terbaik yang disarankan untuk menambahkan lapisan manajemen akses di sekitar data Anda. Mengenkripsi log saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi oleh AWS akan mengakses data yang disimpan pada disk. Ini menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. 

### Remediasi
<a name="codebuild-3-remediation"></a>

Untuk mengubah setelan enkripsi log S3 CodeBuild proyek, lihat [Mengubah setelan proyek build AWS CodeBuild di](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Panduan AWS CodeBuild Pengguna*.

## [CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config
<a name="codebuild-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-4, Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah lingkungan CodeBuild proyek memiliki setidaknya satu opsi log, baik untuk S3 atau CloudWatch log diaktifkan. Kontrol ini gagal jika lingkungan CodeBuild proyek tidak memiliki setidaknya satu opsi log diaktifkan. 

Dari perspektif keamanan, logging adalah fitur penting untuk memungkinkan upaya forensik masa depan dalam kasus insiden keamanan apa pun. Mengkorelasikan anomali dalam CodeBuild proyek dengan deteksi ancaman dapat meningkatkan kepercayaan pada keakuratan deteksi ancaman tersebut.

### Remediasi
<a name="codebuild-4-remediation"></a>

Untuk informasi selengkapnya tentang cara mengonfigurasi setelan log CodeBuild proyek, lihat [Membuat proyek build (konsol)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) di Panduan CodeBuild Pengguna.

## [CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa
<a name="codebuild-5"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategori:** Lindungi > Manajemen Akses Aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah lingkungan AWS CodeBuild proyek memiliki mode istimewa yang diaktifkan atau dinonaktifkan. Kontrol gagal jika lingkungan CodeBuild proyek memiliki mode istimewa yang diaktifkan.

Secara default, kontainer Docker tidak mengizinkan akses ke perangkat apa pun. Mode istimewa memberikan akses container Docker proyek build ke semua perangkat. Pengaturan `privilegedMode` dengan nilai `true` memungkinkan daemon Docker berjalan di dalam wadah Docker. Daemon Docker mendengarkan permintaan API Docker dan mengelola objek Docker seperti gambar, wadah, jaringan, dan volume. Parameter ini hanya boleh disetel ke true jika proyek build digunakan untuk membangun image Docker. Jika tidak, pengaturan ini harus dinonaktifkan untuk mencegah akses yang tidak diinginkan ke Docker APIs serta perangkat keras yang mendasarinya. Pengaturan `privilegedMode` untuk `false` membantu melindungi sumber daya penting dari gangguan dan penghapusan.

### Remediasi
<a name="codebuild-5-remediation"></a>

Untuk mengonfigurasi pengaturan lingkungan CodeBuild proyek, lihat [Membuat proyek build (konsol)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) di *Panduan CodeBuild Pengguna*. Di bagian **Lingkungan**, jangan pilih pengaturan **Privileged**.

## [CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
<a name="codebuild-7"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CodeBuild::ReportGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah hasil pengujian grup AWS CodeBuild laporan yang diekspor ke bucket Amazon Simple Storage Service (Amazon S3) dienkripsi saat istirahat. Kontrol gagal jika ekspor grup laporan tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="codebuild-7-remediation"></a>

Untuk mengenkripsi ekspor grup laporan ke S3, lihat [Memperbarui grup laporan](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) di *AWS CodeBuild Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon CodeGuru Profiler.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag
<a name="codeguruprofiler-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config aturan:** `codeguruprofiler-profiling-group-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup CodeGuru profil Amazon Profiler memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika grup profil tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup profil tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="codeguruprofiler-1-remediation"></a>

Untuk menambahkan tag ke grup CodeGuru profil Profiler, lihat [Menandai grup profil di](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) Panduan Pengguna *Amazon CodeGuru * Profiler.

# Kontrol CSPM Security Hub untuk Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon CodeGuru Reviewer.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag
<a name="codegurureviewer-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config aturan:** `codegurureviewer-repository-association-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah asosiasi CodeGuru repositori Amazon Reviewer memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika asosiasi repositori tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika asosiasi repositori tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="codegurureviewer-1-remediation"></a>

*Untuk menambahkan tag ke asosiasi CodeGuru repositori Reviewer, lihat [Menandai asosiasi repositori di Panduan Pengguna Amazon Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html). CodeGuru *

# Kontrol CSPM Security Hub untuk Amazon Cognito
<a name="cognito-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Cognito. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar
<a name="cognito-1"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  Mode penegakan perlindungan ancaman yang diperiksa oleh kontrol.  |  String  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi standar. Kecuali Anda memberikan nilai parameter kustom, Security Hub CSPM menggunakan nilai default `ENFORCED` untuk mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar.

Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dan menyesuaikan tindakan yang diambil sebagai respons terhadap berbagai risiko. Atau, Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, perlindungan ancaman menerbitkan metrik ke Amazon. CloudWatch Anda dapat melihat metrik setelah Amazon Cognito menghasilkan acara pertamanya.

### Remediasi
<a name="cognito-1-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, [lihat Keamanan lanjutan dengan perlindungan ancaman](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi
<a name="cognito-2"></a>

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::IdentityPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan identitas Amazon Cognito dikonfigurasi untuk mengizinkan identitas yang tidak diautentikasi. Kontrol gagal jika akses tamu diaktifkan (`AllowUnauthenticatedIdentities`parameter disetel ke`true`) untuk kumpulan identitas.

Jika kumpulan identitas Amazon Cognito mengizinkan identitas yang tidak diautentikasi, kumpulan identitas akan memberikan AWS kredensi sementara kepada pengguna yang belum melakukan autentikasi melalui penyedia identitas (tamu). Ini menciptakan risiko keamanan karena memungkinkan akses anonim ke AWS sumber daya. Jika Anda menonaktifkan akses tamu, Anda dapat membantu memastikan bahwa hanya pengguna yang diautentikasi dengan benar yang dapat mengakses AWS sumber daya Anda, yang mengurangi risiko akses tidak sah dan potensi pelanggaran keamanan. Sebagai praktik terbaik, kumpulan identitas harus memerlukan otentikasi melalui penyedia identitas yang didukung. Jika akses yang tidak diautentikasi diperlukan, penting untuk secara hati-hati membatasi izin untuk identitas yang tidak diautentikasi, dan secara teratur meninjau dan memantau penggunaannya.

### Remediasi
<a name="cognito-2-remediation"></a>

Untuk informasi tentang menonaktifkan akses tamu untuk kumpulan identitas Amazon Cognito, [lihat Mengaktifkan atau menonaktifkan akses tamu di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) Amazon *Cognito*.

## [Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat
<a name="cognito-3"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | Jumlah minimum karakter yang harus dikandung kata sandi.  | Bilangan Bulat | `8` untuk `128` | `8 ` | 
|  `requireLowercase`  | Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireUppercase`  | Memerlukan setidaknya satu karakter huruf besar dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireNumbers`  | Memerlukan setidaknya satu nomor dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireSymbols`  | Memerlukan setidaknya satu simbol dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | Jumlah hari maksimum kata sandi dapat ada sebelum kedaluwarsa.  | Bilangan Bulat | `7` untuk `365` | `7`  | 

Kontrol ini memeriksa apakah kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito memerlukan penggunaan kata sandi yang kuat, berdasarkan pengaturan yang disarankan untuk kebijakan kata sandi. Kontrol gagal jika kebijakan kata sandi untuk kumpulan pengguna tidak memerlukan kata sandi yang kuat. Anda dapat menentukan nilai kustom secara opsional untuk setelan kebijakan yang diperiksa oleh kontrol.

Kata sandi yang kuat adalah praktik terbaik keamanan untuk kumpulan pengguna Amazon Cognito. Kata sandi yang lemah dapat mengekspos kredensi pengguna ke sistem yang menebak kata sandi dan mencoba mengakses data. Ini terutama berlaku untuk aplikasi yang terbuka untuk internet. Kebijakan kata sandi adalah elemen sentral dari keamanan direktori pengguna. Dengan menggunakan kebijakan kata sandi, Anda dapat mengonfigurasi kumpulan pengguna untuk meminta kompleksitas kata sandi dan pengaturan lain yang sesuai dengan standar dan persyaratan keamanan Anda.

### Remediasi
<a name="cognito-3-remediation"></a>

Untuk informasi tentang membuat atau memperbarui kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito, lihat [Menambahkan persyaratan kata sandi kumpulan pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus
<a name="cognito-4"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi khusus. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi kustom.

Perlindungan ancaman, sebelumnya disebut fitur keamanan canggih, adalah seperangkat alat pemantauan untuk aktivitas yang tidak diinginkan di kumpulan pengguna Anda, dan alat konfigurasi untuk secara otomatis mematikan aktivitas yang berpotensi berbahaya. Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Mode fungsi penuh mencakup serangkaian reaksi otomatis untuk mendeteksi aktivitas yang tidak diinginkan dan kata sandi yang dikompromikan.

### Remediasi
<a name="cognito-4-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, [lihat Keamanan lanjutan dengan perlindungan ancaman](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
<a name="cognito-5"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Otentikasi multi-faktor

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito yang dikonfigurasi dengan kebijakan masuk khusus kata sandi telah mengaktifkan autentikasi multi-faktor (MFA). Kontrol gagal jika kumpulan pengguna yang dikonfigurasi dengan kebijakan masuk khusus kata sandi tidak mengaktifkan MFA.

Otentikasi multi-faktor (MFA) menambahkan sesuatu yang Anda miliki faktor otentikasi ke faktor yang Anda ketahui (biasanya nama pengguna dan kata sandi). Untuk pengguna federasi, Amazon Cognito mendelegasikan autentikasi ke penyedia identitas (iDP) dan tidak menawarkan faktor otentikasi tambahan. Namun, jika Anda memiliki pengguna lokal dengan otentikasi kata sandi, mengonfigurasi MFA untuk kumpulan pengguna meningkatkan keamanan mereka.

**catatan**  
Kontrol ini tidak berlaku untuk pengguna gabungan dan pengguna yang masuk dengan faktor tanpa kata sandi.

### Remediasi
<a name="cognito-5-remediation"></a>

*Untuk informasi tentang cara mengonfigurasi MFA untuk kumpulan pengguna Amazon Cognito, lihat [Menambahkan MFA ke kumpulan pengguna di](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Panduan Pengembang Amazon Cognito.*

## [Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
<a name="cognito-6"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan dinonaktifkan untuk kumpulan pengguna.

Perlindungan penghapusan membantu memastikan bahwa kumpulan pengguna Anda tidak terhapus secara tidak sengaja. Saat Anda mengonfigurasi kumpulan pengguna dengan perlindungan penghapusan, kumpulan tidak dapat dihapus oleh pengguna mana pun. Perlindungan penghapusan mencegah Anda meminta penghapusan kumpulan pengguna kecuali Anda terlebih dahulu memodifikasi kumpulan dan menonaktifkan perlindungan penghapusan.

### Remediasi
<a name="cognito-6-remediation"></a>

*Untuk mengonfigurasi perlindungan penghapusan kumpulan pengguna Amazon Cognito, [lihat Perlindungan penghapusan kumpulan pengguna di](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) Panduan Pengembang Amazon Cognito.*

# Kontrol CSPM Security Hub untuk AWS Config
<a name="config-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Config layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya
<a name="config-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.3, Tolok Ukur Yayasan CIS v1.2.0/2.5, Tolok Ukur Yayasan CIS v1.4.0/3.5, Tolok Ukur AWS Yayasan CIS v3.0.0/3.3, Nist.800-53.r5 CM-3, NIST.800-53.R5 AWS CM-6 (1), NIST.800-53.R5 CM-8, AWS NIST.800-53.R5 R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

**Kategori:** Identifikasi > Inventaris

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  Kontrol tidak mengevaluasi apakah AWS Config menggunakan peran terkait layanan jika parameter disetel ke. `false`  |  Boolean  |  `true` atau `false`  |  `true`  | 

Kontrol ini memeriksa apakah AWS Config diaktifkan di akun Anda saat ini Wilayah AWS, mencatat semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini, dan menggunakan peran [terkait layanan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Nama peran terkait layanan adalah. **AWSServiceRoleForConfig** Jika Anda tidak menggunakan peran terkait layanan dan tidak menyetel `includeConfigServiceLinkedRoleCheck` parameternya`false`, kontrol gagal karena peran lain mungkin tidak memiliki izin yang diperlukan AWS Config untuk merekam sumber daya Anda secara akurat.

 AWS Config Layanan ini melakukan manajemen konfigurasi AWS sumber daya yang didukung di akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (AWS sumber daya), hubungan antara item konfigurasi, dan perubahan konfigurasi apa pun dalam sumber daya. Sumber daya global adalah sumber daya yang tersedia di Wilayah mana pun.

Kontrol dievaluasi sebagai berikut:
+ Jika Wilayah saat ini ditetapkan sebagai [Wilayah agregasi](finding-aggregation.md) Anda, kontrol menghasilkan `PASSED` temuan hanya jika sumber daya global AWS Identity and Access Management (IAM) direkam (jika Anda telah mengaktifkan kontrol yang memerlukannya).
+ Jika Wilayah saat ini ditetapkan sebagai Wilayah tertaut, kontrol tidak mengevaluasi apakah sumber daya global IAM dicatat.
+ Jika Wilayah saat ini tidak ada dalam agregator Anda, atau jika agregasi lintas wilayah tidak diatur di akun Anda, kontrol akan menghasilkan `PASSED` temuan hanya jika sumber daya global IAM direkam (jika Anda telah mengaktifkan kontrol yang memerlukannya).

Hasil kontrol tidak terpengaruh oleh apakah Anda memilih pencatatan harian atau terus menerus dari perubahan status sumber daya di AWS Config. Namun, hasil kontrol ini dapat berubah ketika kontrol baru dirilis jika Anda telah mengonfigurasi pengaktifan otomatis kontrol baru atau memiliki kebijakan konfigurasi pusat yang secara otomatis mengaktifkan kontrol baru. Dalam kasus ini, jika Anda tidak merekam semua sumber daya, Anda harus mengonfigurasi rekaman untuk sumber daya yang terkait dengan kontrol baru untuk menerima `PASSED` temuan.

Pemeriksaan keamanan CSPM Security Hub berfungsi sebagaimana dimaksud hanya jika Anda mengaktifkan AWS Config di semua Wilayah dan mengonfigurasi perekaman sumber daya untuk kontrol yang memerlukannya.

**catatan**  
Config.1 mengharuskan itu AWS Config diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM.  
Karena Security Hub CSPM adalah layanan Regional, pemeriksaan yang dilakukan untuk kontrol ini hanya mengevaluasi Wilayah saat ini untuk akun tersebut.  
Untuk mengizinkan pemeriksaan keamanan terhadap sumber daya global IAM di suatu Wilayah, Anda harus mencatat sumber daya global IAM di Wilayah tersebut. Wilayah yang tidak memiliki sumber daya global IAM yang direkam akan menerima `PASSED` temuan default untuk kontrol yang memeriksa sumber daya global IAM. Karena sumber daya global IAM identik Wilayah AWS, kami sarankan Anda merekam sumber daya global IAM hanya di Wilayah asal (jika agregasi lintas wilayah diaktifkan di akun Anda). Sumber daya IAM hanya akan direkam di Wilayah di mana perekaman sumber daya global dihidupkan.  
Jenis sumber daya yang direkam secara global IAM yang AWS Config mendukung adalah pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan. Anda dapat mempertimbangkan untuk menonaktifkan kontrol CSPM Security Hub yang memeriksa jenis sumber daya ini di Wilayah tempat perekaman sumber daya global dimatikan. Untuk informasi selengkapnya, lihat [Kontrol yang disarankan untuk dinonaktifkan di CSPM Security Hub](controls-to-disable.md).

### Remediasi
<a name="config-1-remediation"></a>

Di Wilayah dan Wilayah asal yang bukan merupakan bagian dari agregator, catat semua sumber daya yang diperlukan untuk kontrol yang diaktifkan di Wilayah saat ini, termasuk sumber daya global IAM jika Anda telah mengaktifkan kontrol yang memerlukan sumber daya global IAM.

Di Wilayah tertaut, Anda dapat menggunakan mode AWS Config perekaman apa pun, selama Anda merekam semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini. Di Wilayah tertaut, jika Anda telah mengaktifkan kontrol yang memerlukan perekaman sumber daya global IAM, Anda tidak akan menerima `FAILED` temuan (rekaman sumber daya lainnya sudah cukup).

`StatusReasons`Bidang dalam `Compliance` objek temuan Anda dapat membantu Anda menentukan mengapa Anda memiliki temuan yang gagal untuk kontrol ini. Untuk informasi selengkapnya, lihat [Detail kepatuhan untuk temuan kontrol](controls-findings-create-update.md#control-findings-asff-compliance).

Untuk daftar sumber daya mana yang harus direkam untuk setiap kontrol, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md). Untuk informasi umum tentang mengaktifkan AWS Config dan mengonfigurasi perekaman sumber daya, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md)

# Kontrol CSPM Security Hub untuk Amazon Connect
<a name="connect-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Connect.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
<a name="connect-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CustomerProfiles::ObjectType`

**AWS Config aturan:** `customerprofiles-object-type-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah jenis objek Amazon Connect Customer Profiles memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika jenis objek tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jenis objek tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="connect-1-remediation"></a>

Untuk menambahkan tag ke jenis objek Profil Pelanggan, lihat [Menambahkan tag ke sumber daya di Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) di *Panduan Administrator Amazon Connect*.

## [Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch
<a name="connect-2"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Connect::Instance`

**AWS Config aturan: [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon Connect dikonfigurasi untuk membuat dan menyimpan log aliran dalam grup CloudWatch log Amazon. Kontrol gagal jika instans Amazon Connect tidak dikonfigurasi untuk membuat dan menyimpan log aliran dalam grup CloudWatch log.

Log alur Amazon Connect memberikan detail real-time tentang peristiwa di alur Amazon Connect. *Alur* mendefinisikan pengalaman pelanggan dengan pusat kontak Amazon Connect dari awal hingga akhir. Secara default, saat Anda membuat instans Amazon Connect baru, grup CloudWatch log Amazon dibuat secara otomatis untuk menyimpan log alur untuk instance tersebut. Log aliran dapat membantu Anda menganalisis alur, menemukan kesalahan, dan memantau metrik operasional. Anda juga dapat mengatur peringatan untuk peristiwa tertentu yang dapat terjadi dalam alur.

### Remediasi
<a name="connect-2-remediation"></a>

Untuk informasi tentang mengaktifkan log alur untuk instans Amazon Connect, lihat [Mengaktifkan log aliran Amazon Connect di grup CloudWatch log Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) di *Panduan Administrator Amazon Connect*.

# Kontrol CSPM Security Hub untuk Amazon Data Firehose
<a name="datafirehose-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Data Firehose.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
<a name="datafirehose-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah aliran pengiriman Amazon Data Firehose dienkripsi saat istirahat dengan enkripsi sisi server. Kontrol ini gagal jika aliran pengiriman Firehose tidak dienkripsi saat istirahat dengan enkripsi sisi server.

Enkripsi sisi server adalah fitur dalam aliran pengiriman Amazon Data Firehose yang secara otomatis mengenkripsi data sebelum diam dengan menggunakan kunci yang dibuat di (). AWS Key Management Service AWS KMS Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Firehose Data, dan didekripsi setelah diambil dari penyimpanan. Ini memungkinkan Anda untuk mematuhi persyaratan peraturan dan meningkatkan keamanan data Anda.

### Remediasi
<a name="datafirehose-1-remediation"></a>

*Untuk mengaktifkan enkripsi sisi server pada aliran pengiriman Firehose, lihat Perlindungan Data di Amazon Data Firehose [di Panduan Pengembang Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html).*

# Kontrol CSPM Security Hub untuk AWS Database Migration Service
<a name="dms-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Database Migration Service (AWS DMS) dan AWS DMS sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik
<a name="dms-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance AWS DMS replikasi bersifat publik. Untuk melakukan ini, ia memeriksa nilai `PubliclyAccessible` bidang.

Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Sebuah contoh replikasi harus memiliki alamat IP pribadi ketika database sumber dan target berada dalam jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replikasi menggunakan VPN Direct Connect,, atau VPC peering. *Untuk mempelajari lebih lanjut tentang instans replikasi publik dan pribadi, lihat Instans [replikasi publik dan pribadi di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate).AWS Database Migration Service *

Anda juga harus memastikan bahwa akses ke konfigurasi AWS DMS instans Anda terbatas hanya untuk pengguna yang berwenang. Untuk melakukan ini, batasi izin IAM pengguna untuk mengubah AWS DMS pengaturan dan sumber daya.

### Remediasi
<a name="dms-1-remediation"></a>

Anda tidak dapat mengubah pengaturan akses publik untuk instance replikasi DMS setelah membuatnya. Untuk mengubah setelan akses publik, [hapus instans Anda saat ini](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html), lalu [buat ulang](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Jangan pilih opsi yang **dapat diakses publik**.

## [DMS.2] Sertifikat DMS harus ditandai
<a name="dms-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::Certificate`

**AWS Config aturan:** `tagged-dms-certificate` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS DMS sertifikat memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-2-remediation"></a>

Untuk menambahkan tag ke sertifikat DMS, lihat [Menandai sumber daya AWS Database Migration Service di AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) *Panduan Pengguna*.

## [DMS.3] Langganan acara DMS harus ditandai
<a name="dms-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::EventSubscription`

**AWS Config aturan:** `tagged-dms-eventsubscription` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah langganan AWS DMS acara memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika langganan acara tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika langganan acara tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-3-remediation"></a>

Untuk menambahkan tag ke langganan acara DMS, lihat [Menandai sumber daya AWS Database Migration Service di AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) *Panduan Pengguna*.

## [DMS.4] Contoh replikasi DMS harus ditandai
<a name="dms-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan:** `tagged-dms-replicationinstance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah instance AWS DMS replikasi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika instance replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-4-remediation"></a>

*Untuk menambahkan tag ke instance replikasi DMS, lihat [Menandai sumber daya AWS Database Migration Service di Panduan](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Pengguna.AWS Database Migration Service *

## [DMS.5] Grup subnet replikasi DMS harus ditandai
<a name="dms-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config aturan:** `tagged-dms-replicationsubnetgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grup subnet AWS DMS replikasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-5-remediation"></a>

*Untuk menambahkan tag ke grup subnet replikasi DMS, lihat [Menandai sumber daya AWS Database Migration Service di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
<a name="dms-6"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance AWS DMS replikasi. Kontrol gagal jika upgrade versi minor otomatis tidak diaktifkan untuk instance replikasi DMS.

DMS menyediakan upgrade versi minor otomatis ke setiap mesin replikasi yang didukung sehingga Anda dapat menyimpan instance replikasi Anda. up-to-date Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan pemutakhiran versi minor otomatis pada instance replikasi DMS, peningkatan kecil diterapkan secara otomatis selama jendela pemeliharaan atau segera jika opsi **Terapkan segera berubah dipilih**.

### Remediasi
<a name="dms-6-remediation"></a>

*Untuk mengaktifkan pemutakhiran versi minor otomatis pada instance replikasi DMS, lihat [Memodifikasi instance replikasi](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) di Panduan Pengguna.AWS Database Migration Service *

## [DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging
<a name="dms-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationTask`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum `LOGGER_SEVERITY_DEFAULT` untuk tugas `TARGET_APPLY` replikasi DMS dan. `TARGET_LOAD` Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dari`LOGGER_SEVERITY_DEFAULT`.

DMS menggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:
+ `TARGET_APPLY`— Pernyataan bahasa definisi data dan data (DDL) diterapkan ke database target.
+ `TARGET_LOAD`— Data dimuat ke database target.

Logging memainkan peran penting dalam tugas replikasi DMS dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain `DEFAULT` jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti `DEFAULT` untuk komponen ini kecuali secara khusus diminta untuk mengubahnya Dukungan. Tingkat logging minimal `DEFAULT` memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:`LOGGER_SEVERITY_DEFAULT`,, `LOGGER_SEVERITY_DEBUG` atau. `LOGGER_SEVERITY_DETAILED_DEBUG`

### Remediasi
<a name="dms-7-remediation"></a>

Untuk mengaktifkan pencatatan tugas replikasi DMS basis data target, lihat [Melihat dan mengelola log AWS DMS tugas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) di *AWS Database Migration Service Panduan Pengguna*.

## [DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging
<a name="dms-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationTask`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum `LOGGER_SEVERITY_DEFAULT` untuk tugas `SOURCE_CAPTURE` replikasi DMS dan. `SOURCE_UNLOAD` Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dari`LOGGER_SEVERITY_DEFAULT`.

DMS menggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:
+ `SOURCE_CAPTURE`Data replikasi atau perubahan data capture (CDC) yang sedang berlangsung diambil dari database sumber atau layanan, dan diteruskan ke komponen `SORTER` layanan.
+ `SOURCE_UNLOAD`— Data diturunkan dari database sumber atau layanan selama beban penuh.

Logging memainkan peran penting dalam tugas replikasi DMS dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain `DEFAULT` jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti `DEFAULT` untuk komponen ini kecuali secara khusus diminta untuk mengubahnya Dukungan. Tingkat logging minimal `DEFAULT` memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:`LOGGER_SEVERITY_DEFAULT`,, `LOGGER_SEVERITY_DEBUG` atau. `LOGGER_SEVERITY_DETAILED_DEBUG`

### Remediasi
<a name="dms-8-remediation"></a>

Untuk mengaktifkan pencatatan tugas replikasi DMS basis data sumber, lihat [Melihat dan mengelola log AWS DMS tugas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) di *AWS Database Migration Service Panduan Pengguna*.

## [DMS.9] Titik akhir DMS harus menggunakan SSL
<a name="dms-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir menggunakan koneksi SSL. Kontrol gagal jika titik akhir tidak menggunakan SSL.

Koneksi SSL/TLS menyediakan lapisan keamanan dengan mengenkripsi koneksi antara instance replikasi DMS dan database Anda. Menggunakan sertifikat memberikan lapisan keamanan tambahan dengan memvalidasi bahwa koneksi sedang dibuat ke database yang diharapkan. Hal ini dilakukan dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua instance database yang Anda berikan. Dengan mengaktifkan koneksi SSL pada titik akhir DMS Anda, Anda melindungi kerahasiaan data selama migrasi.

### Remediasi
<a name="dms-9-remediation"></a>

*Untuk menambahkan koneksi SSL ke titik akhir DMS baru atau yang sudah ada, lihat [Menggunakan SSL dengan AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) di Panduan Pengguna.AWS Database Migration Service *

## [DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
<a name="dms-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6,, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk database Amazon Neptunus dikonfigurasi dengan otorisasi IAM. Kontrol gagal jika titik akhir DMS tidak mengaktifkan otorisasi IAM.

AWS Identity and Access Management (IAM) menyediakan kontrol akses berbutir halus di seluruh. AWS Dengan IAM, Anda dapat menentukan siapa yang dapat mengakses layanan dan sumber daya mana, dan dalam kondisi apa. Dengan kebijakan IAM, Anda mengelola izin untuk tenaga kerja dan sistem Anda untuk memastikan izin hak istimewa paling sedikit. Dengan mengaktifkan otorisasi IAM pada AWS DMS titik akhir untuk database Neptunus, Anda dapat memberikan hak otorisasi kepada pengguna IAM dengan menggunakan peran layanan yang ditentukan oleh parameter. `ServiceAccessRoleARN`

### Remediasi
<a name="dms-10-remediation"></a>

*Untuk mengaktifkan otorisasi IAM pada titik akhir DMS untuk database Neptunus, lihat [Menggunakan Amazon Neptunus sebagai target dalam Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html). AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
<a name="dms-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3,,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk MongoDB dikonfigurasi dengan mekanisme otentikasi. Kontrol gagal jika jenis otentikasi tidak disetel untuk titik akhir.

AWS Database Migration Service **mendukung dua metode otentikasi untuk MongoDB- **MONGODB-CR untuk MongoDB versi 2.x**, dan SCRAM-SHA-1 untuk MongoDB versi 3.x atau yang lebih baru.** Metode otentikasi ini digunakan untuk mengautentikasi dan mengenkripsi kata sandi MongoDB jika pengguna ingin menggunakan kata sandi untuk mengakses database. Otentikasi pada AWS DMS titik akhir memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses dan memodifikasi data yang sedang dimigrasi antar database. Tanpa autentikasi yang tepat, pengguna yang tidak sah dapat memperoleh akses ke data sensitif selama proses migrasi. Hal ini dapat mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

### Remediasi
<a name="dms-11-remediation"></a>

*Untuk mengaktifkan mekanisme otentikasi pada titik akhir DMS untuk MongoDB, lihat [Menggunakan MongoDB sebagai sumber di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html). AWS DMSAWS Database Migration Service *

## [DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
<a name="dms-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk Redis OSS dikonfigurasi dengan koneksi TLS. Kontrol gagal jika titik akhir tidak mengaktifkan TLS.

TLS memberikan end-to-end keamanan ketika data dikirim antara aplikasi atau database melalui internet. Saat Anda mengonfigurasi enkripsi SSL untuk titik akhir DMS Anda, ini memungkinkan komunikasi terenkripsi antara basis data sumber dan target selama proses migrasi. Ini membantu mencegah penyadapan dan intersepsi data sensitif oleh aktor jahat. Tanpa enkripsi SSL, data sensitif dapat diakses, mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

### Remediasi
<a name="dms-12-remediation"></a>

*Untuk mengaktifkan koneksi TLS pada titik akhir DMS untuk Redis, lihat [Menggunakan Redis sebagai target dalam Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html). AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
<a name="dms-13"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance replikasi AWS Database Migration Service (AWS DMS) dikonfigurasi untuk menggunakan beberapa Availability Zones (penerapan Multi-AZ). Kontrol gagal jika instance AWS DMS replikasi tidak dikonfigurasi untuk menggunakan penerapan Multi-AZ.

Dalam penerapan Multi-AZ, AWS DMS secara otomatis menyediakan dan memelihara replika siaga instance replikasi di Availability Zone (AZ) yang berbeda. Contoh replikasi utama kemudian direplikasi secara sinkron ke replika siaga. Jika instans replikasi utama gagal atau menjadi tidak responsif, cadangan tersebut melanjutkan tugas yang sedang berlangsung dengan gangguan minimal. Untuk informasi selengkapnya, lihat [Bekerja dengan instance replikasi](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) di *Panduan AWS Database Migration Service Pengguna*.

### Remediasi
<a name="dms-13-remediation"></a>

Setelah membuat instance AWS DMS replikasi, Anda dapat mengubah setelan penerapan Multi-AZ untuknya. *Untuk informasi tentang mengubah ini dan setelan lainnya untuk instance replikasi yang ada, lihat [Memodifikasi instance replikasi di Panduan](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) Pengguna.AWS Database Migration Service *

# Kontrol CSPM Security Hub untuk AWS DataSync
<a name="datasync-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS DataSync layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync tugas harus mengaktifkan logging
<a name="datasync-1"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DataSync::Task`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DataSync tugas telah mengaktifkan pencatatan. Kontrol gagal jika tugas tidak mengaktifkan logging.

Log audit melacak dan memantau aktivitas sistem. Mereka menyediakan catatan peristiwa yang dapat membantu Anda mendeteksi pelanggaran keamanan, menyelidiki insiden, dan mematuhi peraturan. Log audit juga meningkatkan akuntabilitas dan transparansi organisasi Anda secara keseluruhan.

### Remediasi
<a name="datasync-1-remediation"></a>

Untuk informasi tentang mengonfigurasi pencatatan AWS DataSync tugas, lihat [Memantau transfer data dengan CloudWatch Log Amazon](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) di *Panduan AWS DataSync Pengguna*.

## [DataSync.2] DataSync tugas harus ditandai
<a name="datasync-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DataSync::Task`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS DataSync tugas memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika tugas tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tugas tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="datasync-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS DataSync tugas, lihat [Menandai AWS DataSync tugas Anda](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) di *Panduan AWS DataSync Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon Detective
<a name="detective-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Detektif Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Grafik perilaku detektif harus diberi tag
<a name="detective-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Detective::Graph`

**AWS Config aturan:** `tagged-detective-graph` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grafik perilaku Detektif Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grafik perilaku tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grafik perilaku tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="detective-1-remediation"></a>

Untuk menambahkan tag ke grafik perilaku Detektif, lihat [Menambahkan tag ke grafik perilaku](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) di Panduan *Administrasi Detektif* Amazon.

# Kontrol CSPM Security Hub untuk Amazon DocumentDB
<a name="documentdb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon DocumentDB (dengan kompatibilitas MongoDB). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
<a name="documentdb-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster Amazon DocumentDB dienkripsi saat istirahat. Kontrol gagal jika cluster Amazon DocumentDB tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data di cluster Amazon DocumentDB harus dienkripsi saat istirahat untuk lapisan keamanan tambahan. Amazon DocumentDB menggunakan Advanced Encryption Standard 256-bit (AES-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan dalam AWS Key Management Service (AWS KMS).

### Remediasi
<a name="documentdb-1-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat membuat cluster Amazon DocumentDB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat [Mengaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB di Panduan Pengembang Amazon](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) *DocumentDB*.

## [DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
<a name="documentdb-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memiliki periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi cadangan kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan backup untuk cluster Amazon DocumentDB Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. Di Amazon DocumentDB, cluster memiliki periode retensi cadangan default 1 hari. Ini harus ditingkatkan menjadi nilai antara 7 dan 35 hari untuk melewati kontrol ini.

### Remediasi
<a name="documentdb-2-remediation"></a>

*Untuk mengubah periode retensi cadangan untuk klaster Amazon DocumentDB Anda, lihat [Memodifikasi klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Untuk **Backup**, pilih periode retensi cadangan.

## [DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
<a name="documentdb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster manual Amazon DocumentDB bersifat publik. Kontrol gagal jika snapshot cluster manual bersifat publik.

Snapshot kluster manual Amazon DocumentDB tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.

**catatan**  
Kontrol ini mengevaluasi snapshot cluster manual. Anda tidak dapat membagikan snapshot klaster otomatis Amazon DocumentDB. Namun, Anda dapat membuat snapshot manual dengan menyalin snapshot otomatis, lalu membagikan salinannya.

### Remediasi
<a name="documentdb-3-remediation"></a>

Untuk menghapus akses publik untuk snapshot kluster manual Amazon DocumentDB, [lihat Berbagi](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) snapshot di Panduan Pengembang *Amazon* DocumentDB. Secara terprogram, Anda dapat menggunakan operasi Amazon DocumentDB. `modify-db-snapshot-attribute` Tetapkan `attribute-name` sebagai `restore` dan `values-to-remove` sebagai`all`.

## [DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
<a name="documentdb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak mempublikasikan log audit ke CloudWatch Log.

Amazon DocumentDB (dengan kompatibilitas MongoDB) memungkinkan Anda mengaudit peristiwa yang dilakukan di cluster Anda. Contoh log acara termasuk upaya autentikasi yang berhasil dan gagal, membuang koleksi dalam basis data, atau membuat indeks. Secara default, audit dinonaktifkan di Amazon DocumentDB dan mengharuskan Anda mengambil tindakan untuk mengaktifkannya.

### Remediasi
<a name="documentdb-4-remediation"></a>

Untuk mempublikasikan log audit Amazon DocumentDB CloudWatch ke Log, [lihat Mengaktifkan](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) audit di Panduan Pengembang *Amazon* DocumentDB.

## [DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
<a name="documentdb-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB mengaktifkan perlindungan penghapusan. Kontrol gagal jika klaster tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster Amazon DocumentDB tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil. Perlindungan penghapusan diaktifkan secara default saat Anda membuat klaster di konsol Amazon DocumentDB.

### Remediasi
<a name="documentdb-5-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster Amazon DocumentDB yang ada, lihat Memodifikasi klaster Amazon DocumentDB di Panduan [Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Di bagian **Modify Cluster**, pilih **Enable** for **Deletion protection.**

## [DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
<a name="documentdb-6"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:**`excludeTlsParameters`:`disabled`, `enabled` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memerlukan TLS untuk koneksi ke cluster. Kontrol gagal jika grup parameter cluster yang terkait dengan cluster tidak sinkron, atau parameter cluster TLS diatur ke `disabled` atau`enabled`.

Anda dapat menggunakan TLS untuk mengenkripsi koneksi antara aplikasi dan cluster Amazon DocumentDB. Penggunaan TLS dapat membantu melindungi data agar tidak dicegat saat data sedang transit antara aplikasi dan cluster Amazon DocumentDB. Enkripsi dalam perjalanan untuk klaster Amazon DocumentDB dikelola menggunakan parameter TLS di grup parameter cluster yang terkait dengan cluster. Ketika enkripsi dalam transit diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke klaster. Sebaiknya gunakan parameter TLS berikut:`tls1.2+`,`tls1.3+`, dan`fips-140-3`.

### Remediasi
<a name="documentdb-6-remediation"></a>

*Untuk informasi tentang mengubah setelan TLS untuk klaster Amazon DocumentDB[, lihat Mengenkripsi data saat transit](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) di Panduan Pengembang Amazon DocumentDB.*

# Kontrol CSPM Security Hub untuk DynamoDB
<a name="dynamodb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon DynamoDB. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
<a name="dynamodb-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang valid | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Jumlah minimum unit kapasitas baca yang disediakan untuk penskalaan otomatis DynamoDB  |  Bilangan Bulat  |  `1` untuk `40000`  |  Tidak ada nilai default  | 
|  `targetReadUtilization`  |  Target persentase pemanfaatan untuk kapasitas baca  |  Bilangan Bulat  |  `20` untuk `90`  |  Tidak ada nilai default  | 
|  `minProvisionedWriteCapacity`  |  Jumlah minimum unit kapasitas tulis yang disediakan untuk penskalaan otomatis DynamoDB  |  Bilangan Bulat  |  `1` untuk `40000`  |  Tidak ada nilai default  | 
|  `targetWriteUtilization`  |  Target persentase pemanfaatan untuk kapasitas tulis  |  Bilangan Bulat  |  `20` untuk `90`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol gagal jika tabel tidak menggunakan mode kapasitas sesuai permintaan atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Secara default, kontrol ini hanya mengharuskan salah satu mode ini dikonfigurasi, tanpa memperhatikan tingkat kapasitas baca atau tulis tertentu. Secara opsional, Anda dapat memberikan nilai parameter khusus untuk memerlukan tingkat kapasitas baca dan tulis tertentu atau pemanfaatan target.

Kapasitas penskalaan dengan permintaan menghindari pengecualian pembatasan, yang membantu menjaga ketersediaan aplikasi Anda. Tabel DynamoDB yang menggunakan mode kapasitas sesuai permintaan hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk menaikkan kuota ini, Anda dapat mengajukan tiket dukungan dengan Dukungan. Tabel DynamoDB yang menggunakan mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola lalu lintas. *Untuk informasi selengkapnya tentang pembatasan permintaan DynamoDB, [lihat Meminta pelambatan dan kapasitas burst di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) DynamoDB.*

### Remediasi
<a name="dynamodb-1-remediation"></a>

*Untuk mengaktifkan penskalaan otomatis DynamoDB pada tabel yang ada dalam mode kapasitas, lihat Mengaktifkan penskalaan otomatis [DynamoDB pada tabel yang ada di Panduan Pengembang Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable).*

## [DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
<a name="dynamodb-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah point-in-time pemulihan (PITR) diaktifkan untuk tabel Amazon DynamoDB.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. DynamoDB recovery point-in-time mengotomatiskan backup untuk tabel DynamoDB. Ini mengurangi waktu untuk memulihkan dari menghapus atau menulis operasi yang tidak disengaja. Tabel DynamoDB yang mengaktifkan PITR dapat dikembalikan ke titik waktu mana pun dalam 35 hari terakhir.

### Remediasi
<a name="dynamodb-2-remediation"></a>

*Untuk mengembalikan tabel DynamoDB ke titik waktu, lihat [Memulihkan tabel DynamoDB ke titik waktu dalam Panduan Pengembang Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*

## [DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
<a name="dynamodb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DAX::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DynamoDB Accelerator (DAX) dienkripsi saat istirahat. Kontrol gagal jika cluster DAX tidak dienkripsi saat istirahat.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk yang diakses oleh pengguna yang tidak diautentikasi. AWS Enkripsi menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.

### Remediasi
<a name="dynamodb-3-remediation"></a>

Anda tidak dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat setelah cluster dibuat. Anda harus membuat ulang cluster untuk mengaktifkan enkripsi saat istirahat. Untuk petunjuk terperinci tentang cara membuat klaster DAX dengan enkripsi saat istirahat diaktifkan, lihat [Mengaktifkan enkripsi saat istirahat menggunakan Panduan Pengembang Amazon DynamoDB Konsol Manajemen AWS di](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) *Amazon DynamoDB*.

## [DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
<a name="dynamodb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi apakah `ACTIVE` tabel Amazon DynamoDB dalam status dicakup oleh rencana cadangan. Kontrol gagal jika tabel DynamoDB tidak dicakup oleh rencana cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika tabel DynamoDB dicadangkan di AWS Backup vault terkunci.

AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang membantu Anda memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat rencana cadangan yang menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. Menyertakan tabel DynamoDB dalam paket cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="dynamodb-4-remediation"></a>

*Untuk menambahkan tabel DynamoDB ke AWS Backup paket cadangan, [lihat Menetapkan sumber daya ke paket cadangan di Panduan Pengembang](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html).AWS Backup *

## [DynamoDB.5] Tabel DynamoDB harus diberi tag
<a name="dynamodb-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan:** `tagged-dynamodb-table` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah tabel Amazon DynamoDB memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dynamodb-5-remediation"></a>

*Untuk menambahkan tag ke tabel DynamoDB, [lihat Menandai sumber daya di DynamoDB di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) DynamoDB.*

## [DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
<a name="dynamodb-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tabel Amazon DynamoDB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika tabel DynamoDB tidak mengaktifkan proteksi penghapusan.

Anda dapat melindungi tabel DynamoDB dari penghapusan yang tidak disengaja dengan properti perlindungan penghapusan. Mengaktifkan properti ini untuk tabel membantu memastikan bahwa tabel tidak terhapus secara tidak sengaja selama operasi manajemen tabel reguler oleh administrator Anda. Ini membantu mencegah gangguan pada operasi bisnis normal Anda.

### Remediasi
<a name="dynamodb-6-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan untuk tabel DynamoDB, lihat [Menggunakan perlindungan penghapusan](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) di Panduan Pengembang Amazon DynamoDB.*

## [DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
<a name="dynamodb-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7,, NIST.800-53.r5 SC-1 3 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-2 3, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DAX::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DynamoDB Accelerator (DAX) dienkripsi saat transit, dengan jenis enkripsi endpoint disetel ke TLS. Kontrol gagal jika klaster DAX tidak dienkripsi saat transit.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Anda hanya boleh mengizinkan koneksi terenkripsi melalui TLS untuk mengakses kluster DAX. Namun, mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan enkripsi diaktifkan untuk memahami profil kinerja dan dampak TLS.

### Remediasi
<a name="dynamodb-7-remediation"></a>

Anda tidak dapat mengubah setelan enkripsi TLS setelah membuat cluster DAX. Untuk mengenkripsi klaster DAX yang ada, buat klaster baru dengan enkripsi saat transit diaktifkan, geser lalu lintas aplikasi Anda ke klaster tersebut, lalu hapus klaster lama. Untuk informasi selengkapnya, lihat [Menggunakan perlindungan penghapusan](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) di Panduan Pengembang *Amazon DynamoDB*.

# Kontrol CSPM Security Hub untuk Amazon EC2
<a name="ec2-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Elastic Compute Cloud (Amazon EC2). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik
<a name="ec2-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis 

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa pun.

Snapshot EBS digunakan untuk mencadangkan data pada volume EBS Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Jarang dapat diterima untuk berbagi snapshot dengan publik. Biasanya keputusan untuk membagikan snapshot secara publik dibuat karena kesalahan atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua pembagian tersebut sepenuhnya direncanakan dan disengaja.

### Remediasi
<a name="ec2-1-remediation"></a>

Untuk menjadikan snapshot EBS publik menjadi pribadi, lihat [Membagikan snapshot di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) Pengguna *Amazon* EC2. Untuk **Tindakan, Ubah izin**, pilih **Pribadi**.

## [EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar
<a name="ec2-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, Tolok Ukur Yayasan CIS v1.2.0/4.3, Tolok Ukur Yayasan CIS v1.4.0/5.3, Tolok Ukur AWS Yayasan CIS v3.0.0/5.4,, (21),, (11), (16), (21), (4), (5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan default VPC memungkinkan lalu lintas masuk atau keluar. Kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk atau keluar.

Aturan untuk [grup keamanan default](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) memungkinkan semua lalu lintas keluar dan masuk dari antarmuka jaringan (dan instance terkait) yang ditetapkan ke grup keamanan yang sama. Kami menyarankan Anda untuk tidak menggunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah pengaturan aturan grup keamanan default untuk membatasi lalu lintas masuk dan keluar. Ini mencegah lalu lintas yang tidak diinginkan jika grup keamanan default secara tidak sengaja dikonfigurasi untuk sumber daya seperti instans EC2.

### Remediasi
<a name="ec2-2-remediation"></a>

Untuk mengatasi masalah ini, mulailah dengan membuat grup keamanan paling tidak memiliki hak istimewa baru. Untuk petunjuknya, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) di *Panduan Pengguna Amazon VPC*. Kemudian, tetapkan grup keamanan baru ke instans EC2 Anda. Untuk petunjuknya, lihat [Mengubah grup keamanan instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) di *Panduan Pengguna Amazon EC2*.

Setelah Anda menetapkan grup keamanan baru ke sumber daya Anda, hapus semua aturan masuk dan keluar dari grup keamanan default. Untuk petunjuknya, lihat [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) di *Panduan Pengguna Amazon VPC*.

## [EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat
<a name="ec2-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume EBS yang berada dalam keadaan terlampir dienkripsi. Untuk lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, maka tidak tunduk pada pemeriksaan ini.

Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat istirahat. Enkripsi Amazon EBS menawarkan solusi enkripsi langsung untuk sumber daya EBS Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi.

Untuk mempelajari lebih lanjut tentang enkripsi Amazon EBS, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) di Panduan Pengguna *Amazon EC2*.

### Remediasi
<a name="ec2-3-remediation"></a>

Tidak ada cara langsung untuk mengenkripsi volume atau snapshot yang tidak terenkripsi yang ada. Anda hanya dapat mengenkripsi volume atau snapshot baru saat Anda membuatnya.

Jika Anda mengaktifkan enkripsi secara default, Amazon EBS mengenkripsi volume atau snapshot baru yang dihasilkan menggunakan kunci default untuk enkripsi Amazon EBS. Meskipun Anda belum mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat Anda membuat volume atau snapshot individu. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk enkripsi Amazon EBS dan memilih kunci terkelola pelanggan simetris.

*Untuk informasi selengkapnya, lihat [Membuat volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) dan [Menyalin snapshot Amazon EBS di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) Amazon EC2.*

## [EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
<a name="ec2-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Jumlah hari instans EC2 diizinkan berada dalam keadaan berhenti sebelum menghasilkan temuan yang gagal.  |  Bilangan Bulat  |  `1` untuk `365`  |  `30`  | 

Kontrol ini memeriksa apakah instans Amazon EC2 telah dihentikan lebih lama dari jumlah hari yang diizinkan. Kontrol gagal jika instans EC2 dihentikan lebih lama dari periode waktu maksimum yang diizinkan. Kecuali Anda memberikan nilai parameter khusus untuk jangka waktu maksimum yang diizinkan, Security Hub CSPM menggunakan nilai default 30 hari.

Ketika instans EC2 tidak berjalan untuk jangka waktu yang signifikan, itu menciptakan risiko keamanan karena instans tidak dipelihara secara aktif (dianalisis, ditambal, diperbarui). Jika kemudian diluncurkan, kurangnya perawatan yang tepat dapat mengakibatkan masalah tak terduga di AWS lingkungan Anda. Untuk mempertahankan instans EC2 dengan aman dari waktu ke waktu dalam keadaan tidak aktif, mulailah secara berkala untuk pemeliharaan dan kemudian hentikan setelah pemeliharaan. Idealnya, ini harus menjadi proses otomatis.

### Remediasi
<a name="ec2-4-remediation"></a>

*Untuk menghentikan instans EC2 yang tidak aktif, lihat [Mengakhiri instans di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) Amazon EC2.*

## [EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs
<a name="ec2-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.7, Tolok Ukur Yayasan CIS v1.2.0/2.9, Tolok Ukur Yayasan CIS v1.4.0/3.9, Tolok Ukur AWS Yayasan CIS v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.R5 SI-7 (8), AWS Nist.800-171.r2 3.1.20, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.3.1, Nist.800-171.r2 3.13.1, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.1/10.3.6 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `trafficType`: `REJECT` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Amazon VPC Flow Logs ditemukan dan diaktifkan. VPCs Jenis lalu lintas diatur ke`Reject`. Kontrol gagal jika Log Aliran VPC tidak diaktifkan VPCs di akun Anda.

**catatan**  
Kontrol ini tidak memeriksa apakah Amazon VPC Flow Logs diaktifkan melalui Amazon Security Lake untuk file. Akun AWS

Dengan fitur VPC Flow Logs, Anda dapat menangkap informasi tentang lalu lintas alamat IP yang menuju dan dari antarmuka jaringan di VPC Anda. Setelah membuat log aliran, Anda dapat melihat dan mengambil datanya di CloudWatch Log. Untuk mengurangi biaya, Anda juga dapat mengirim log aliran Anda ke Amazon S3. 

Security Hub CSPM merekomendasikan agar Anda mengaktifkan flow logging untuk penolakan paket. VPCs Flow log memberikan visibilitas ke lalu lintas jaringan yang melintasi VPC dan dapat mendeteksi lalu lintas anomali atau memberikan wawasan selama alur kerja keamanan.

Secara default, catatan menyertakan nilai untuk berbagai komponen aliran alamat IP, termasuk sumber, tujuan, dan protokol. Untuk informasi selengkapnya dan deskripsi bidang log, lihat Log [Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di Panduan Pengguna *Amazon VPC*.

### Remediasi
<a name="ec2-6-remediation"></a>

Untuk membuat Log Aliran VPC, lihat [Membuat Log Aliran](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) di Panduan Pengguna Amazon *VPC*. **Setelah Anda membuka konsol VPC Amazon, pilih Your. VPCs** Untuk **Filter**, pilih **Tolak** atau **Semua**.

## [EC2.7] Enkripsi default EBS harus diaktifkan
<a name="ec2-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.1.1, Tolok Ukur Yayasan CIS v1.4.0/2.2.1, Tolok Ukur AWS Yayasan CIS v3.0.0/2.2.1, (1), 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk volume Amazon Elastic Block Store (Amazon EBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan untuk volume EBS. 

Saat enkripsi diaktifkan untuk akun Anda, volume Amazon EBS dan salinan snapshot dienkripsi saat istirahat. Ini menambahkan lapisan perlindungan tambahan untuk data Anda. Untuk informasi selengkapnya, lihat [Enkripsi secara default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) di *Panduan Pengguna Amazon EC2*.

### Remediasi
<a name="ec2-7-remediation"></a>

Untuk mengonfigurasi enkripsi default untuk volume Amazon EBS, lihat [Enkripsi secara default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) di Panduan *Pengguna Amazon EC2*.

## [EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
<a name="ec2-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.7, Tolok Ukur AWS Yayasan CIS v3.0.0/5.6,, (15), (7),, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah versi metadata instans EC2 Anda dikonfigurasi dengan Layanan Metadata Instans Versi 2 (). IMDSv2 Kontrol lolos jika `HttpTokens` diatur ke required for IMDSv2. Kontrol gagal jika `HttpTokens` disetel ke`optional`.

Anda menggunakan metadata instance untuk mengonfigurasi atau mengelola instance yang sedang berjalan. IMDS menyediakan akses ke kredensial sementara yang sering diputar. Kredensil ini menghapus kebutuhan untuk kode keras atau mendistribusikan kredensil sensitif ke instance secara manual atau terprogram. IMDS dilampirkan secara lokal ke setiap instans EC2. Ini berjalan pada alamat IP “link lokal” khusus 169.254.169.254. Alamat IP ini hanya dapat diakses oleh perangkat lunak yang berjalan pada instance.

Versi 2 IMDS menambahkan perlindungan baru untuk jenis kerentanan berikut. Kerentanan ini dapat digunakan untuk mencoba mengakses IMDS.
+ Buka firewall aplikasi situs web
+ Buka proxy terbalik
+ Kerentanan pemalsuan permintaan sisi server (SSRF)
+ Buka firewall Layer 3 dan terjemahan alamat jaringan (NAT)

Security Hub CSPM merekomendasikan agar Anda mengonfigurasi instans EC2 Anda. IMDSv2

### Remediasi
<a name="ec2-8-remediation"></a>

Untuk mengonfigurasi instans EC2 dengan IMDSv2, lihat [Jalur yang disarankan untuk membutuhkan IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) di Panduan Pengguna *Amazon EC2*.

## [EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4
<a name="ec2-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 memiliki alamat IP publik. Kontrol gagal jika `publicIp` bidang hadir dalam item konfigurasi instans EC2. Kontrol ini hanya berlaku untuk IPv4 alamat. 

Alamat IPv4 publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Anda dengan alamat IP publik, maka instans EC2 Anda dapat dijangkau dari internet. Alamat IPv4 pribadi adalah alamat IP yang tidak dapat dijangkau dari internet. Anda dapat menggunakan alamat IPv4 pribadi untuk komunikasi antara instans EC2 di VPC yang sama atau di jaringan pribadi Anda yang terhubung.

IPv6 alamat unik secara global, dan karenanya dapat dijangkau dari internet. Namun, secara default semua subnet memiliki atribut IPv6 pengalamatan disetel ke false. Untuk informasi selengkapnya IPv6, lihat [Pengalamatan IP di VPC Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) Panduan Pengguna *Amazon VPC*.

Jika Anda memiliki kasus penggunaan yang sah untuk mempertahankan instans EC2 dengan alamat IP publik, maka Anda dapat menekan temuan dari kontrol ini. Untuk informasi selengkapnya tentang opsi arsitektur front-end, lihat [Blog AWS Arsitektur](https://aws.amazon.com/blogs/architecture/) atau [seri AWS video seri This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Remediasi
<a name="ec2-9-remediation"></a>

Gunakan VPC non-default sehingga instans Anda tidak diberi alamat IP publik secara default.

Ketika Anda meluncurkan instans EC2 ke VPC default, itu diberikan alamat IP publik. Saat Anda meluncurkan instans EC2 ke VPC non-default, konfigurasi subnet menentukan apakah ia menerima alamat IP publik. Subnet memiliki atribut untuk menentukan apakah instans EC2 baru di subnet menerima alamat IP publik dari kumpulan alamat publik. IPv4 

Anda dapat memisahkan alamat IP publik yang ditetapkan secara otomatis dari instans EC2 Anda. Untuk informasi selengkapnya, lihat [ IPv4 Alamat publik dan nama host DNS eksternal](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) di Panduan Pengguna *Amazon EC2*.

## [EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2
<a name="ec2-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Akses pribadi API

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** 
+ `serviceName`: `ec2` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir layanan untuk Amazon EC2 dibuat untuk setiap VPC. Kontrol gagal jika VPC tidak memiliki titik akhir VPC yang dibuat untuk layanan Amazon EC2. 

Kontrol ini mengevaluasi sumber daya dalam satu akun. Itu tidak dapat menggambarkan sumber daya yang berada di luar akun. Karena AWS Config dan Security Hub CSPM tidak melakukan pemeriksaan lintas akun, Anda akan melihat `FAILED` temuan VPCs yang dibagikan di seluruh akun. Security Hub CSPM merekomendasikan agar Anda menekan temuan ini. `FAILED`

Untuk meningkatkan postur keamanan VPC Anda, Anda dapat mengonfigurasi Amazon EC2 untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses operasi Amazon EC2 API secara pribadi. Ini membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon EC2 ke jaringan Amazon. Karena titik akhir hanya didukung dalam Wilayah yang sama, Anda tidak dapat membuat titik akhir antara VPC dan layanan di Wilayah yang berbeda. Ini mencegah panggilan API Amazon EC2 yang tidak diinginkan ke Wilayah lain. 

*Untuk mempelajari selengkapnya tentang membuat titik akhir VPC untuk Amazon EC2, lihat Amazon EC2 [dan titik akhir VPC antarmuka di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html).*

### Remediasi
<a name="ec2-10-remediation"></a>

*Untuk membuat titik akhir antarmuka ke Amazon EC2 dari konsol VPC Amazon, lihat [Membuat titik akhir VPC di](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) Panduan.AWS PrivateLink * Untuk **nama Layanan**, pilih **com.amazonaws. *region*.ec2**.

Anda juga dapat membuat dan melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk mengontrol akses ke Amazon EC2 API. *Untuk petunjuk cara membuat kebijakan titik akhir VPC, lihat [Membuat kebijakan titik akhir](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) di Panduan Pengguna Amazon EC2.*

## [EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs
<a name="ec2-12"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.4, Nist.800-53.r5 CM-8 (1)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::EIP`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah alamat Elastic IP (EIP) yang dialokasikan ke VPC dilampirkan ke instans EC2 atau antarmuka jaringan elastis yang sedang digunakan (). ENIs

Temuan yang gagal menunjukkan Anda mungkin memiliki EIPs EC2 yang tidak digunakan.

Ini akan membantu Anda mempertahankan inventaris aset yang akurat EIPs di lingkungan data pemegang kartu (CDE) Anda.

### Remediasi
<a name="ec2-12-remediation"></a>

Untuk merilis EIP yang tidak digunakan, lihat [Melepaskan alamat IP Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) di Panduan Pengguna *Amazon EC2*.

## [EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
<a name="ec2-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/4.1,, (21),, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.13.1, PCI NIST.800-53.r5 SC-7 DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1 2.2.2, PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)**

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 22. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, seperti SSH, mengurangi eksposur server terhadap risiko.

### Remediasi
<a name="ec2-13-remediation"></a>

Untuk melarang masuknya ke port 22, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan VPC. Untuk petunjuknya, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di *Panduan Pengguna Amazon EC2*. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22.

## [EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
<a name="ec2-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(aturan yang dibuat adalah`restricted-rdp`)

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 3389. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, seperti RDP, mengurangi eksposur server terhadap risiko.

### Remediasi
<a name="ec2-14-remediation"></a>

Untuk melarang masuknya ke port 3389, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan VPC. Untuk petunjuknya, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) di *Panduan Pengguna Amazon VPC*. Setelah memilih grup keamanan di Konsol VPC Amazon, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 3389.

## [EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik
<a name="ec2-15"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Subnet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah subnet Amazon Virtual Private Cloud (Amazon VPC) dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol gagal jika subnet dikonfigurasi untuk secara otomatis menetapkan publik IPv4 atau IPv6 alamat.

Subnet memiliki atribut yang menentukan apakah antarmuka jaringan secara otomatis menerima publik IPv4 dan IPv6 alamat. Untuk IPv4, atribut ini disetel ke `TRUE` untuk subnet default dan `FALSE` untuk subnet nondefault (dengan pengecualian untuk subnet nondefault yang dibuat melalui wizard instans peluncuran EC2, yang disetel ke). `TRUE` Untuk IPv6, atribut ini diatur ke `FALSE` untuk semua subnet secara default. Ketika atribut ini diaktifkan, instance yang diluncurkan di subnet secara otomatis menerima alamat IP yang sesuai (IPv4 atau IPv6) pada antarmuka jaringan utama mereka.

### Remediasi
<a name="ec2-15-remediation"></a>

Untuk mengonfigurasi subnet agar tidak menetapkan alamat IP publik, lihat [Memodifikasi atribut pengalamatan IP subnet Anda di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) Amazon *VPC*.

## [EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
<a name="ec2-16"></a>

**Persyaratan terkait:** Nist.800-53.r5 CM-8 (1), Nist.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ada daftar kontrol akses jaringan (jaringan ACLs) yang tidak terpakai di cloud pribadi virtual (VPC) Anda. Kontrol gagal jika ACL jaringan tidak terkait dengan subnet. Kontrol tidak menghasilkan temuan untuk ACL jaringan default yang tidak digunakan.

Kontrol memeriksa konfigurasi item sumber daya `AWS::EC2::NetworkAcl` dan menentukan hubungan ACL jaringan.

Jika satu-satunya hubungan adalah VPC jaringan ACL, kontrol gagal.

Jika hubungan lain terdaftar, maka kontrol berlalu.

### Remediasi
<a name="ec2-16-remediation"></a>

Untuk petunjuk cara menghapus ACL jaringan yang tidak digunakan, lihat [Menghapus ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) di Panduan Pengguna *Amazon* VPC. Anda tidak dapat menghapus ACL jaringan default atau ACL yang terkait dengan subnet.

## [EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs
<a name="ec2-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 menggunakan beberapa Elastic Network Interfaces (ENIs) atau Elastic Fabric Adapters (EFA). Kontrol ini lolos jika adaptor jaringan tunggal digunakan. Kontrol mencakup daftar parameter opsional untuk mengidentifikasi ENI yang diizinkan. Kontrol ini juga gagal jika instans EC2 milik kluster Amazon EKS menggunakan lebih dari satu ENI. Jika instans EC2 Anda perlu memiliki beberapa ENIs sebagai bagian dari kluster Amazon EKS, Anda dapat menekan temuan kontrol tersebut.

Beberapa ENIs dapat menyebabkan instance dual-homed, yang berarti instance yang memiliki beberapa subnet. Ini dapat menambah kompleksitas keamanan jaringan dan memperkenalkan jalur dan akses jaringan yang tidak diinginkan.

### Remediasi
<a name="ec2-17-remediation"></a>

Untuk melepaskan antarmuka jaringan dari instans EC2, lihat [Melepaskan antarmuka jaringan dari instans di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) Pengguna *Amazon* EC2.

## [EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi
<a name="ec2-18"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Daftar port TCP resmi  |  IntegerList (minimal 1 item dan maksimal 32 item)  |  `1` untuk `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Daftar port UDP resmi  |  IntegerList (minimal 1 item dan maksimal 32 item)  |  `1` untuk `65535`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak sah. Status kontrol ditentukan sebagai berikut:
+ Jika Anda menggunakan nilai default untuk`authorizedTcpPorts`, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port selain port 80 dan 443.
+ Jika Anda memberikan nilai khusus untuk `authorizedTcpPorts` atau`authorizedUdpPorts`, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak terdaftar.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke. AWS Aturan grup keamanan harus mengikuti prinsip akses yang paling tidak memiliki hak istimewa. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang aktivitas berbahaya seperti peretasan, denial-of-service serangan, dan kehilangan data. Kecuali port diizinkan secara khusus, port harus menolak akses tidak terbatas.

### Remediasi
<a name="ec2-18-remediation"></a>

Untuk mengubah grup keamanan, lihat [Bekerja dengan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) di *Panduan Pengguna Amazon VPC*.

## [EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
<a name="ec2-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1),, NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1

**Kategori:** Lindungi > Akses jaringan terbatas

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(aturan yang dibuat adalah`vpc-sg-restricted-common-ports`)

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan Amazon EC2 dapat diakses ke port tertentu yang dianggap berisiko tinggi. Kontrol ini gagal jika salah satu aturan dalam grup keamanan mengizinkan lalu lintas masuk dari '0.0.0.0/0' atau ': :/0' ke port tersebut.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Akses tidak terbatas (0.0.0.0/0) meningkatkan peluang untuk aktivitas berbahaya, seperti peretasan, denial-of-service serangan, dan kehilangan data. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (kerangka kerja pengembangan web Go, Node.js, dan Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Kerangka pengembangan web Python)
+ 5432 (Postgresql)
+ 5500 (fcp-addr-srvr1) 
+ 5601 (Dasbor) OpenSearch 
+ 8080 (proksi)
+ 8088 (port HTTP lama)
+ 8888 (port HTTP alternatif)
+ 9200 atau 9300 () OpenSearch

### Remediasi
<a name="ec2-19-remediation"></a>

Untuk menghapus aturan dari grup keamanan, lihat [Menghapus aturan dari grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) di *Panduan Pengguna Amazon EC2*.

## [EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif
<a name="ec2-20"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-13 (5), Nist.800-171.R2 3.1.13, Nist.800-171.R2 3.1.20

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::VPNConnection`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Terowongan VPN adalah tautan terenkripsi tempat data dapat berpindah dari jaringan pelanggan ke atau dari AWS dalam koneksi AWS Site-to-Site VPN. Setiap koneksi VPN mencakup dua terowongan VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan bahwa kedua terowongan VPN siap untuk koneksi VPN penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara AWS VPC dan jaringan jarak jauh Anda.

Kontrol ini memeriksa apakah kedua terowongan VPN yang disediakan oleh AWS Site-to-Site VPN berada dalam status UP. Kontrol gagal jika salah satu atau kedua terowongan berada dalam status DOWN.

### Remediasi
<a name="ec2-20-remediation"></a>

Untuk mengubah opsi terowongan VPN, lihat [Memodifikasi opsi terowongan Site-to-Site AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) di Panduan Pengguna VPN.

## [EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389
<a name="ec2-21"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.2, Tolok Ukur Yayasan CIS v1.4.0/5.1, Tolok Ukur AWS Yayasan CIS v3.0.0/5.1, (21), (1),, NIST.800-53.r5 AC-4 (21), (5), Nist.800-171.r2 3.1.3, NIST.800-53.r5 CA-9 Nist.800-171.r2 3.1.r2 SS NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 v4.0.1/1.3.1 AWS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah daftar kontrol akses jaringan (ACL jaringan) memungkinkan akses tidak terbatas ke port TCP default untuk SSH/RDP lalu lintas masuk. Kontrol gagal jika entri masuk ACL jaringan memungkinkan blok CIDR sumber '0.0.0.0/0' atau ': :/0' untuk port TCP 22 atau 3389. Kontrol tidak menghasilkan temuan untuk ACL jaringan default.

Akses ke port administrasi server jarak jauh, seperti port 22 (SSH) dan port 3389 (RDP), tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke sumber daya dalam VPC Anda.

### Remediasi
<a name="ec2-21-remediation"></a>

Untuk mengedit aturan lalu lintas ACL jaringan, lihat [Bekerja dengan jaringan ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) di Panduan Pengguna *Amazon VPC*.

## [EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
<a name="ec2-22"></a>

**Kategori:** Identifikasi > Inventaris

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:**`AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) atau ke antarmuka elastic network. Kontrol gagal jika grup keamanan tidak terkait dengan instans Amazon EC2 atau elastic network interface.

**penting**  
Pada tanggal 20 September 2023, Security Hub CSPM menghapus kontrol ini dari standar Praktik Terbaik Keamanan AWS Dasar dan NIST SP 800-53 Revisi 5. Kontrol ini terus menjadi bagian dari standar yang AWS Control Tower dikelola layanan. Kontrol ini menghasilkan temuan yang diteruskan jika grup keamanan dilampirkan ke instans EC2 atau elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan kontrol EC2 lainnya—seperti EC2.2, EC2.13, EC2.14, EC2.18, dan EC2.19—untuk memantau grup keamanan Anda.

### Remediasi
<a name="ec2-22-remediation"></a>

Untuk membuat, menetapkan, dan menghapus grup keamanan, lihat [Grup keamanan untuk instans EC2 Anda di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) *Amazon* EC2.

## [EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC
<a name="ec2-23"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::TransitGateway`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah gateway transit EC2 secara otomatis menerima lampiran VPC bersama. Kontrol ini gagal untuk gateway transit yang secara otomatis menerima permintaan lampiran VPC bersama.

Menghidupkan `AutoAcceptSharedAttachments` mengonfigurasi gateway transit untuk secara otomatis menerima permintaan lampiran VPC lintas akun apa pun tanpa memverifikasi permintaan atau akun tempat lampiran berasal. Untuk mengikuti praktik otorisasi dan otentikasi terbaik, kami sarankan untuk mematikan fitur ini untuk memastikan bahwa hanya permintaan lampiran VPC resmi yang diterima.

### Remediasi
<a name="ec2-23-remediation"></a>

Untuk mengubah gateway transit, lihat [Memodifikasi gateway transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) di Panduan Pengembang Amazon VPC.

## [EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
<a name="ec2-24"></a>

**Persyaratan terkait:** Nist.800-53.r5 CM-2, Nist.800-53.r5 CM-2 (2)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jenis virtualisasi dari instans EC2 adalah paravirtual. Kontrol gagal jika instans EC2 diatur ke`paravirtual`. `virtualizationType`

Linux Amazon Machine Images (AMIs) menggunakan salah satu dari dua jenis virtualisasi: paravirtual (PV) atau hardware virtual machine (HVM). Perbedaan utama antara PV dan HVM AMIs adalah cara mereka boot dan apakah mereka dapat memanfaatkan ekstensi perangkat keras khusus (CPU, jaringan, dan penyimpanan) untuk kinerja yang lebih baik.

Secara historis, tamu PV memiliki kinerja yang lebih baik dibandingkan tamu HVM dalam banyak kasus, tetapi karena peningkatan virtualisasi HVM dan ketersediaan driver IT untuk HVM AMIs, ini tidak lagi benar. Untuk informasi selengkapnya, lihat [jenis virtualisasi AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) di Panduan Pengguna Amazon EC2.

### Remediasi
<a name="ec2-24-remediation"></a>

Untuk memperbarui instans EC2 ke jenis instans baru, lihat [Mengubah jenis instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) di Panduan Pengguna *Amazon EC2*.

## [EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan
<a name="ec2-25"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah templat peluncuran Amazon EC2 dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan saat diluncurkan. Kontrol gagal jika template peluncuran EC2 dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan atau jika ada setidaknya satu antarmuka jaringan yang memiliki alamat IP publik.

Alamat IP publik adalah alamat yang dapat dijangkau dari internet. Jika Anda mengonfigurasi antarmuka jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan antarmuka jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik karena ini memungkinkan akses yang tidak diinginkan ke beban kerja Anda.

### Remediasi
<a name="ec2-25-remediation"></a>

Untuk memperbarui template peluncuran EC2, lihat [Mengubah setelan antarmuka jaringan default di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) Pengguna *Amazon EC2 Auto* Scaling.

## [EC2.28] Volume EBS harus dicakup oleh rencana cadangan
<a name="ec2-28"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi jika volume Amazon EBS dalam `in-use` status dicakup oleh paket cadangan. Kontrol gagal jika volume EBS tidak tercakup oleh paket cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika volume EBS dicadangkan di brankas yang AWS Backup terkunci.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Menyertakan volume Amazon EBS dalam paket cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="ec2-28-remediation"></a>

Untuk menambahkan volume Amazon EBS ke paket AWS Backup cadangan, lihat [Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) *Pengembang*.

## [EC2.33] Lampiran gateway transit EC2 harus ditandai
<a name="ec2-33"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config aturan:** `tagged-ec2-transitgatewayattachment` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lampiran gateway transit Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika lampiran gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lampiran gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-33-remediation"></a>

Untuk menambahkan tag ke lampiran gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.34] Tabel rute gateway transit EC2 harus ditandai
<a name="ec2-34"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config aturan:** `tagged-ec2-transitgatewayroutetable` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel rute gateway transit Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel rute gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-34-remediation"></a>

Untuk menambahkan tag ke tabel rute gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.35] Antarmuka jaringan EC2 harus ditandai
<a name="ec2-35"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkInterface`

**AWS Config aturan:** `tagged-ec2-networkinterface` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah antarmuka jaringan Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika antarmuka jaringan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antarmuka jaringan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-35-remediation"></a>

Untuk menambahkan tag ke antarmuka jaringan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.36] Gateway pelanggan EC2 harus ditandai
<a name="ec2-36"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::CustomerGateway`

**AWS Config aturan:** `tagged-ec2-customergateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway pelanggan Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway pelanggan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway pelanggan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-36-remediation"></a>

Untuk menambahkan tag ke gateway pelanggan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.37] Alamat IP Elastis EC2 harus ditandai
<a name="ec2-37"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::EIP`

**AWS Config aturan:** `tagged-ec2-eip` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah alamat IP Elastis Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika alamat IP Elastis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alamat IP Elastis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-37-remediation"></a>

Untuk menambahkan tag ke alamat IP Elastis EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.38] Instans EC2 harus ditandai
<a name="ec2-38"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan:** `tagged-ec2-instance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah instans Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika instance tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-38-remediation"></a>

Untuk menambahkan tag ke instans EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.39] Gerbang internet EC2 harus ditandai
<a name="ec2-39"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::InternetGateway`

**AWS Config aturan:** `tagged-ec2-internetgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway internet Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway internet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway internet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-39-remediation"></a>

Untuk menambahkan tag ke gateway internet EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.40] Gerbang EC2 NAT harus ditandai
<a name="ec2-40"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NatGateway`

**AWS Config aturan:** `tagged-ec2-natgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway terjemahan alamat jaringan (NAT) Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway NAT tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway NAT tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-40-remediation"></a>

Untuk menambahkan tag ke gateway EC2 NAT, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.41] Jaringan EC2 harus ditandai ACLs
<a name="ec2-41"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan:** `tagged-ec2-networkacl` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah daftar kontrol akses jaringan Amazon EC2 (ACL jaringan) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika ACL jaringan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ACL jaringan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-41-remediation"></a>

Untuk menambahkan tag ke ACL jaringan EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.42] Tabel rute EC2 harus ditandai
<a name="ec2-42"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::RouteTable`

**AWS Config aturan:** `tagged-ec2-routetable` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel rute Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel rute tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-42-remediation"></a>

Untuk menambahkan tag ke tabel rute EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.43] Grup keamanan EC2 harus ditandai
<a name="ec2-43"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan:** `tagged-ec2-securitygroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup keamanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-43-remediation"></a>

Untuk menambahkan tag ke grup keamanan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.44] Subnet EC2 harus ditandai
<a name="ec2-44"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Subnet`

**AWS Config aturan:** `tagged-ec2-subnet` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah subnet Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika subnet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika subnet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-44-remediation"></a>

Untuk menambahkan tag ke subnet EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.45] Volume EC2 harus ditandai
<a name="ec2-45"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan:** `tagged-ec2-volume` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah volume Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika volume tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika volume tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-45-remediation"></a>

Untuk menambahkan tag ke volume EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.46] Amazon VPCs harus ditandai
<a name="ec2-46"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan:** `tagged-ec2-vpc` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah Amazon Virtual Private Cloud (Amazon VPC) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika VPC Amazon tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika VPC Amazon tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-46-remediation"></a>

Untuk menambahkan tag ke VPC, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.47] Layanan titik akhir Amazon VPC harus ditandai
<a name="ec2-47"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPCEndpointService`

**AWS Config aturan:** `tagged-ec2-vpcendpointservice` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah layanan titik akhir VPC Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika layanan endpoint tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan titik akhir tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-47-remediation"></a>

*Untuk menambahkan tag ke layanan titik akhir Amazon VPC, lihat [Mengelola Tag](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) di bagian [Mengonfigurasi layanan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) dari Panduan.AWS PrivateLink *

## [EC2.48] Log aliran VPC Amazon harus ditandai
<a name="ec2-48"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::FlowLog`

**AWS Config aturan:** `tagged-ec2-flowlog` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah log aliran VPC Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika log aliran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika log aliran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-48-remediation"></a>

Untuk menambahkan tag ke log aliran VPC Amazon, lihat [Menandai log alur di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) Pengguna Amazon *VPC*.

## [EC2.49] Koneksi peering VPC Amazon harus ditandai
<a name="ec2-49"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPCPeeringConnection`

**AWS Config aturan:** `tagged-ec2-vpcpeeringconnection` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah koneksi peering VPC Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika koneksi peering tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika koneksi peering tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-49-remediation"></a>

*Untuk menambahkan tag ke koneksi peering VPC Amazon, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.50] Gateway EC2 VPN harus ditandai
<a name="ec2-50"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPNGateway`

**AWS Config aturan:** `tagged-ec2-vpngateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway Amazon EC2 VPN memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway VPN tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway VPN tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-50-remediation"></a>

Untuk menambahkan tag ke gateway VPN EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) di Panduan Pengguna *Amazon EC2*.

## [EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
<a name="ec2-51"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), Nist.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-4, Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), Nist.800-171.R2 3.1.12, Nist.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Client VPN titik akhir mengaktifkan pencatatan koneksi klien. Kontrol gagal jika titik akhir tidak mengaktifkan pencatatan koneksi klien.

Titik akhir Client VPN memungkinkan klien jarak jauh untuk terhubung dengan aman ke sumber daya di Virtual Private Cloud (VPC) di. AWS Log koneksi memungkinkan Anda melacak aktivitas pengguna di titik akhir VPN dan memberikan visibilitas. Bila Anda mengaktifkan logging koneksi, Anda dapat menentukan nama pengaliran log dalam grup log. Jika Anda tidak menentukan aliran log, layanan Client VPN membuatnya untuk Anda.

### Remediasi
<a name="ec2-51-remediation"></a>

Untuk mengaktifkan pencatatan koneksi, lihat [Mengaktifkan pencatatan koneksi untuk titik akhir Client VPN yang ada](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) di *Panduan AWS Client VPN Administrator*.

## [EC2.52] Gerbang transit EC2 harus ditandai
<a name="ec2-52"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGateway`

**AWS Config aturan:** `tagged-ec2-transitgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah gateway transit Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-52-remediation"></a>

Untuk menambahkan tag ke gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh
<a name="ec2-53"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.3, Tolok Ukur Yayasan CIS v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Versi IP  |  String  |  Tidak dapat disesuaikan  |  `IPv4`  | 
|  `restrictPorts`  |  Daftar port yang harus menolak lalu lintas masuk  |  IntegerList  |  Tidak dapat disesuaikan  |  `22,3389`  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

### Remediasi
<a name="ec2-53-remediation"></a>

Untuk memperbarui aturan grup keamanan EC2 untuk melarang lalu lintas masuk ke port yang ditentukan, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di Panduan Pengguna *Amazon* EC2. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22 atau port 3389.

## [EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh
<a name="ec2-54"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.4, Tolok Ukur Yayasan CIS v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS 

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Versi IP  |  String  |  Tidak dapat disesuaikan  |  `IPv6`  | 
|  `restrictPorts`  |  Daftar port yang harus menolak lalu lintas masuk  |  IntegerList  |  Tidak dapat disesuaikan  |  `22,3389`  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memungkinkan masuknya dari: :/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari: :/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

### Remediasi
<a name="ec2-54-remediation"></a>

Untuk memperbarui aturan grup keamanan EC2 untuk melarang lalu lintas masuk ke port yang ditentukan, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di Panduan Pengguna *Amazon* EC2. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22 atau port 3389.

## [EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
<a name="ec2-55"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ecr.api | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Amazon ECR API. Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk ECR API. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-55-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
<a name="ec2-56"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ecr.dkr | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Docker Registry. Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Docker Registry. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-56-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
<a name="ec2-57"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-57-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager
<a name="ec2-58"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm-contacts | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Kontak Manajer Insiden. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Kontak Manajer Insiden Manajer Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-58-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
<a name="ec2-60"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm-incidents | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Manajer Insiden. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Systems Manager Incident Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-60-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2
<a name="ec2-170"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah templat peluncuran Amazon EC2 dikonfigurasi dengan Layanan Metadata Instans Versi 2 (). IMDSv2 Kontrol gagal jika `HttpTokens` disetel ke`optional`.

Menjalankan sumber daya pada versi perangkat lunak yang didukung memastikan kinerja, keamanan, dan akses optimal ke fitur-fitur terbaru. Pembaruan rutin melindungi terhadap kerentanan, yang membantu memastikan pengalaman pengguna yang stabil dan efisien.

### Remediasi
<a name="ec2-170-remediation"></a>

*Untuk mewajibkan IMDSv2 pada templat peluncuran EC2, lihat [Mengonfigurasi opsi Layanan Metadata Instans di](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) Panduan Pengguna Amazon EC2.*

## [EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging
<a name="ec2-171"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPNConnection`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi AWS Site-to-Site VPN mengaktifkan Amazon CloudWatch Logs untuk kedua terowongan. Kontrol gagal jika koneksi Site-to-Site VPN tidak mengaktifkan CloudWatch Log untuk kedua terowongan.

AWS Site-to-Site Log VPN memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD). Site-to-Site Log VPN dapat dipublikasikan ke CloudWatch Log. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.

### Remediasi
<a name="ec2-171-remediation"></a>

Untuk mengaktifkan pencatatan terowongan pada koneksi VPN EC2, lihat [log AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) di *Panduan Pengguna AWS Site-to-Site VPN*.

## [EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
<a name="ec2-172"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config aturan:** `ec2-vpc-bpa-internet-gateway-blocked` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Nilai string dari mode opsi VPC BPA.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pengaturan Amazon EC2 VPC Block Public Access (BPA) dikonfigurasi untuk memblokir lalu lintas gateway internet untuk semua Amazon di. VPCs Akun AWS Kontrol gagal jika pengaturan VPC BPA tidak dikonfigurasi untuk memblokir lalu lintas gateway internet. Agar kontrol lolos, BPA VPC `InternetGatewayBlockMode` harus disetel ke atau. `block-bidirectional` `block-ingress` Jika parameter `vpcBpaInternetGatewayBlockMode` disediakan, kontrol hanya lewat jika nilai VPC BPA `InternetGatewayBlockMode` cocok dengan parameter.

Mengkonfigurasi pengaturan BPA VPC untuk akun Anda di Wilayah AWS sebuah memungkinkan Anda memblokir sumber daya dan subnet yang Anda miliki VPCs di Wilayah itu agar tidak menjangkau atau dijangkau dari internet melalui gateway internet dan gateway internet khusus egres. Jika Anda memerlukan subnet VPCs dan spesifik untuk dapat menjangkau atau dapat dijangkau dari internet, Anda dapat mengecualikannya dengan mengonfigurasi pengecualian VPC BPA. Untuk petunjuk cara membuat dan menghapus pengecualian, lihat [Membuat dan menghapus pengecualian](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) di Panduan Pengguna Amazon *VPC*.

### Remediasi
<a name="ec2-172-remediation"></a>

*Untuk mengaktifkan BPA dua arah di tingkat akun, lihat [Mengaktifkan mode dua arah BPA untuk akun Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Panduan Pengguna Amazon VPC.* Untuk mengaktifkan BPA khusus masuk, lihat Mengubah mode BPA [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) menjadi hanya masuk. Untuk mengaktifkan BPA VPC di tingkat Organisasi, lihat Mengaktifkan [BPA VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) di tingkat Organisasi.

## [EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir
<a name="ec2-173"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::SpotFleet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah permintaan Amazon EC2 Spot Fleet yang menentukan parameter peluncuran dikonfigurasi untuk mengaktifkan enkripsi untuk semua volume Amazon Elastic Block Store (Amazon EBS) yang dilampirkan ke instans EC2. Kontrol gagal jika permintaan Armada Spot menentukan parameter peluncuran dan tidak mengaktifkan enkripsi untuk satu atau beberapa volume EBS yang ditentukan dalam permintaan.

Untuk lapisan keamanan tambahan, Anda harus mengaktifkan enkripsi untuk volume Amazon EBS. Operasi enkripsi kemudian terjadi pada server yang meng-host instans Amazon EC2, yang membantu memastikan keamanan data saat istirahat dan data dalam perjalanan antara instans dan penyimpanan EBS terlampir. Enkripsi Amazon EBS adalah solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans EC2 Anda. Dengan enkripsi EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi EBS digunakan AWS KMS keys saat membuat volume terenkripsi.

**Catatan**  
Kontrol ini tidak menghasilkan temuan untuk permintaan Armada Spot Amazon EC2 yang menggunakan templat peluncuran. Ini juga tidak menghasilkan temuan untuk permintaan Spot Fleet yang tidak secara eksplisit menentukan nilai untuk parameter. `encrypted`

### Remediasi
<a name="ec2-173-remediation"></a>

Tidak ada cara langsung untuk mengenkripsi volume Amazon EBS yang sudah ada dan tidak terenkripsi. Anda dapat mengenkripsi volume baru hanya ketika Anda membuatnya.

Namun, jika Anda mengaktifkan enkripsi secara default, Amazon EBS mengenkripsi volume baru dengan menggunakan kunci default Anda untuk enkripsi EBS. Jika Anda tidak mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat membuat volume individual. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk enkripsi EBS dan memilih pelanggan yang dikelola. AWS KMS key Untuk informasi selengkapnya tentang enkripsi EBS, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di Panduan Pengguna *Amazon EBS*.

Untuk informasi tentang membuat permintaan Armada Spot Amazon EC2, lihat [Membuat Armada Spot di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) *Amazon Elastic Compute Cloud*.

## [EC2.174] Set opsi EC2 DHCP harus ditandai
<a name="ec2-174"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::DHCPOptions`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah set opsi Amazon EC2 DHCP memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika set opsi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika set opsi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-174-remediation"></a>

*Untuk informasi tentang menambahkan tag ke set opsi Amazon EC2 DHCP, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.175] Templat peluncuran EC2 harus diberi tag
<a name="ec2-175"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah template peluncuran Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika template peluncuran tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika templat peluncuran tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-175-remediation"></a>

Untuk informasi tentang menambahkan tag ke templat peluncuran Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.176] Daftar awalan EC2 harus ditandai
<a name="ec2-176"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::PrefixList`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah daftar awalan Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika daftar awalan tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika daftar awalan tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-176-remediation"></a>

*Untuk informasi tentang menambahkan tag ke daftar awalan Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.177] Sesi cermin lalu lintas EC2 harus ditandai
<a name="ec2-177"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorSession`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah sesi cermin lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika sesi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sesi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-177-remediation"></a>

Untuk informasi tentang menambahkan tag ke sesi cermin lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.178] Filter cermin lalu lintas EC2 harus ditandai
<a name="ec2-178"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorFilter`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah filter cermin lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika filter tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika filter tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-178-remediation"></a>

Untuk informasi tentang menambahkan tag ke filter cermin lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.179] Target cermin lalu lintas EC2 harus ditandai
<a name="ec2-179"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorTarget`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah target mirror lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika target tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika target tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-179-remediation"></a>

Untuk informasi tentang menambahkan tag ke target mirror lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
<a name="ec2-180"></a>

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::NetworkInterface`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini source/destination memeriksa apakah pemeriksaan diaktifkan untuk elastic network interface (ENI) Amazon EC2 yang dikelola oleh pengguna. Kontrol gagal jika source/destination pemeriksaan dinonaktifkan untuk ENI yang dikelola pengguna. Kontrol ini hanya memeriksa jenis berikut ENIs:`aws_codestar_connections_managed`,, `branch``efa`,`interface`,`lambda`, dan`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidasi alamat, yang memastikan bahwa sebuah instance adalah sumber atau tujuan dari setiap lalu lintas yang diterimanya. Ini memberikan lapisan tambahan keamanan jaringan dengan mencegah sumber daya menangani lalu lintas yang tidak diinginkan dan mencegah spoofing alamat IP.

**catatan**  
Jika Anda menggunakan instans EC2 sebagai instans NAT dan Anda menonaktifkan source/destination pemeriksaan ENI-nya, Anda dapat menggunakan gateway [NAT sebagai gantinya](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).

### Remediasi
<a name="ec2-180-remediation"></a>

Untuk informasi tentang mengaktifkan source/destination pemeriksaan untuk Amazon EC2 ENI, [lihat Memodifikasi atribut antarmuka jaringan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) di Panduan Pengguna *Amazon EC2*.

## [EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
<a name="ec2-181"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah template peluncuran Amazon EC2 memungkinkan enkripsi untuk semua volume EBS terlampir. Kontrol gagal jika parameter enkripsi disetel ke `False` volume EBS apa pun yang ditentukan oleh templat peluncuran EC2.

Enkripsi Amazon EBS adalah solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans Amazon EC2. Dengan enkripsi EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi EBS digunakan AWS KMS keys saat membuat volume dan snapshot terenkripsi. Operasi enkripsi terjadi pada server yang meng-host instans EC2, yang membantu memastikan keamanan data saat istirahat dan data dalam perjalanan antara instans EC2 dan penyimpanan EBS terlampir. Untuk informasi selengkapnya, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Pengguna Amazon EBS*.

Anda dapat mengaktifkan enkripsi EBS selama peluncuran manual instans EC2 individual. Namun, ada beberapa manfaat menggunakan templat peluncuran EC2 dan mengonfigurasi pengaturan enkripsi di templat tersebut. Anda dapat menerapkan enkripsi sebagai standar dan memastikan penggunaan pengaturan enkripsi yang konsisten. Anda juga dapat mengurangi risiko kesalahan dan kesenjangan keamanan yang mungkin terjadi dengan peluncuran instance secara manual.

**catatan**  
Ketika kontrol ini memeriksa template peluncuran EC2, itu hanya mengevaluasi pengaturan enkripsi EBS yang secara eksplisit ditentukan oleh template. Evaluasi tidak mencakup pengaturan enkripsi yang diwarisi dari pengaturan enkripsi EBS tingkat akun, pemetaan perangkat blok AMI, atau status enkripsi snapshot sumber.

### Remediasi
<a name="ec2-181-remediation"></a>

Setelah Anda membuat template peluncuran Amazon EC2, Anda tidak dapat memodifikasinya. Namun, Anda dapat membuat versi baru dari template peluncuran dan mengubah pengaturan enkripsi di versi baru template tersebut. Anda juga dapat menentukan versi baru sebagai versi default dari template peluncuran. Kemudian, jika Anda meluncurkan instans EC2 dari template peluncuran dan tidak menentukan versi template, EC2 menggunakan pengaturan versi default saat meluncurkan instance. Untuk informasi selengkapnya, lihat [Memodifikasi templat peluncuran](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) di *Panduan Pengguna Amazon EC2*.

## [EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik
<a name="ec2-182"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol memeriksa apakah blokir akses publik diaktifkan untuk memblokir semua berbagi snapshot Amazon EBS. Kontrol gagal jika memblokir akses publik tidak diaktifkan untuk memblokir semua berbagi untuk semua snapshot Amazon EBS.

Untuk mencegah berbagi foto Amazon EBS secara publik, Anda dapat mengaktifkan blokir akses publik untuk snapshot. Setelah memblokir akses publik untuk snapshot diaktifkan di Wilayah, setiap upaya untuk membagikan snapshot secara publik di Wilayah tersebut akan diblokir secara otomatis. Ini membantu meningkatkan keamanan snapshot dan melindungi data snapshot dari akses yang tidak sah atau tidak diinginkan. 

### Remediasi
<a name="ec2-182-remediation"></a>

Untuk mengaktifkan blokir akses publik untuk snapshot, lihat [Mengonfigurasi blokir akses publik untuk snapshot Amazon EBS di Panduan](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) Pengguna *Amazon EBS*. Untuk **Blokir akses publik**, pilih **Blokir semua akses publik**.

# Kontrol CSPM Security Hub untuk Auto Scaling
<a name="autoscaling-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon EC2 Auto Scaling.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB
<a name="autoscaling-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.2,, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling yang terkait dengan penyeimbang beban menggunakan pemeriksaan kesehatan Elastic Load Balancing (ELB). Kontrol gagal jika grup Auto Scaling tidak menggunakan pemeriksaan kesehatan ELB.

Pemeriksaan kesehatan ELB membantu memastikan bahwa grup Auto Scaling dapat menentukan kesehatan instans berdasarkan tes tambahan yang disediakan oleh penyeimbang beban. Menggunakan pemeriksaan kesehatan Elastic Load Balancing juga membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto EC2 Scaling.

### Remediasi
<a name="autoscaling-1-remediation"></a>

Untuk menambahkan pemeriksaan kesehatan Elastic Load Balancing, lihat [Menambahkan pemeriksaan kesehatan Menambahkan Elastic Load Balancing di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) Pengguna Amazon *Auto EC2 Scaling.*

## [AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
<a name="autoscaling-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon mencakup setidaknya jumlah Availability Zone () yang ditentukan. AZs Kontrol gagal jika grup Auto Scaling tidak menjangkau setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Grup Auto Scaling yang tidak menjangkau beberapa instans tidak AZs dapat meluncurkan instance di AZ lain untuk mengkompensasi jika AZ tunggal yang dikonfigurasi menjadi tidak tersedia. Namun, grup Auto Scaling dengan satu Availability Zone mungkin lebih disukai dalam beberapa kasus penggunaan, seperti pekerjaan batch atau ketika biaya transfer antar-AZ harus dijaga seminimal mungkin. Dalam kasus seperti itu, Anda dapat menonaktifkan kontrol ini atau menekan temuannya. 

### Remediasi
<a name="autoscaling-2-remediation"></a>

Untuk menambahkan AZs ke grup Auto Scaling yang ada, lihat [Menambahkan dan menghapus Availability Zone](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) di Panduan Pengguna *Amazon Auto EC2 Scaling*.

## [AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2
<a name="autoscaling-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah IMDSv2 diaktifkan pada semua instans yang diluncurkan oleh grup EC2 Auto Scaling Amazon. Kontrol gagal jika versi Instance Metadata Service (IMDS) tidak disertakan dalam konfigurasi peluncuran atau dikonfigurasi sebagai`token optional`, yang merupakan pengaturan yang memungkinkan salah satu atau. IMDSv1 IMDSv2

IMDS menyediakan data tentang instans yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan.

IMDS versi 2 menambahkan perlindungan baru yang tidak tersedia IMDSv1 untuk melindungi instans Anda lebih lanjut. EC2 

### Remediasi
<a name="autoscaling-3-remediation"></a>

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru dengan IMDSv2 diaktifkan. Untuk informasi selengkapnya, lihat [Mengonfigurasi opsi metadata instans untuk instance baru](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) di Panduan Pengguna *Amazon EC2 *.

## [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1
<a name="autoscaling-4"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa jumlah hop jaringan yang dapat ditempuh oleh token metadata. Kontrol gagal jika batas hop respons metadata lebih besar dari. `1`

Layanan Metadata Instance (IMDS) menyediakan informasi metadata tentang EC2 instans Amazon dan berguna untuk konfigurasi aplikasi. Membatasi `PUT` respons HTTP untuk layanan metadata hanya untuk EC2 instance yang melindungi IMDS dari penggunaan yang tidak sah.

Bidang Time To Live (TTL) dalam paket IP dikurangi satu pada setiap hop. Pengurangan ini dapat digunakan untuk memastikan bahwa paket tidak bepergian ke luar EC2. IMDSv2 melindungi EC2 instance yang mungkin salah dikonfigurasi sebagai router terbuka, firewall lapisan 3, terowongan, atau perangkat NAT VPNs, yang mencegah pengguna yang tidak sah mengambil metadata. Dengan IMDSv2, `PUT` respons yang berisi token rahasia tidak dapat berjalan di luar instance karena batas hop respons metadata default disetel ke. `1` Namun, jika nilai ini lebih besar dari`1`, token dapat meninggalkan EC2 instance. 

### Remediasi
<a name="autoscaling-4-remediation"></a>

*Untuk mengubah batas hop respons metadata untuk konfigurasi peluncuran yang ada, lihat [Memodifikasi opsi metadata instans untuk instance yang ada di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) Amazon. EC2 *

## [Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik
<a name="autoscaling-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi peluncuran terkait grup Auto Scaling menetapkan [alamat IP publik ke instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) grup. Kontrol gagal jika konfigurasi peluncuran terkait menetapkan alamat IP publik.

 EC2 Instans Amazon dalam konfigurasi peluncuran grup Auto Scaling tidak boleh memiliki alamat IP publik terkait, kecuali dalam kasus edge terbatas. EC2 Instans Amazon seharusnya hanya dapat diakses dari belakang penyeimbang beban alih-alih langsung terpapar ke internet.

### Remediasi
<a name="autoscaling-5-remediation"></a>

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru. Lalu, perbarui grup Auto Scaling Anda untuk menggunakan konfigurasi peluncuran baru. Untuk step-by-step petunjuknya, lihat [Mengubah konfigurasi peluncuran untuk grup Auto Scaling di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) Pengguna *Amazon Auto EC2 Scaling*. Saat membuat konfigurasi peluncuran baru, di bawah **Konfigurasi tambahan**, untuk **detail lanjutan, jenis alamat IP**, pilih **Jangan tetapkan alamat IP publik ke instance apa pun**.

Setelah Anda mengubah konfigurasi peluncuran, Auto Scaling meluncurkan instance baru dengan opsi konfigurasi baru. Instance yang ada tidak terpengaruh. Untuk memperbarui instans yang ada, kami sarankan Anda menyegarkan instans Anda, atau mengizinkan penskalaan otomatis untuk secara bertahap mengganti instans lama dengan instans yang lebih baru berdasarkan kebijakan penghentian Anda. *Untuk informasi selengkapnya tentang memperbarui instans Auto Scaling, lihat Memperbarui instans [Auto Scaling di Panduan Pengguna Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) Auto Scaling. EC2 *

## [AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone
<a name="autoscaling-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon menggunakan beberapa jenis instans. Kontrol gagal jika grup Auto Scaling hanya memiliki satu jenis instance yang ditentukan.

Anda dapat meningkatkan ketersediaan dengan menerapkan aplikasi Anda di beberapa jenis instance yang berjalan di beberapa Availability Zone. Security Hub CSPM merekomendasikan penggunaan beberapa jenis instans sehingga grup Auto Scaling dapat meluncurkan jenis instans lain jika kapasitas instans tidak mencukupi di Availability Zone yang Anda pilih.

### Remediasi
<a name="autoscaling-6-remediation"></a>

Untuk membuat grup Auto Scaling dengan beberapa jenis instans, lihat grup [Auto Scaling dengan beberapa jenis instans dan opsi pembelian](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) di Panduan Pengguna Amazon *Auto EC2 Scaling*.

## [AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
<a name="autoscaling-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon dibuat dari template EC2 peluncuran. Kontrol ini gagal jika grup EC2 Auto Scaling Amazon tidak dibuat dengan templat peluncuran atau jika templat peluncuran tidak ditentukan dalam kebijakan instance campuran.

Grup EC2 Auto Scaling dapat dibuat dari template EC2 peluncuran atau konfigurasi peluncuran. Namun, menggunakan template peluncuran untuk membuat grup Auto Scaling memastikan bahwa Anda memiliki akses ke fitur dan peningkatan terbaru.

### Remediasi
<a name="autoscaling-9-remediation"></a>

Untuk membuat grup Auto Scaling dengan template EC2 peluncuran, lihat [Membuat grup Auto Scaling menggunakan template peluncuran di Panduan Pengguna](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) Amazon *Auto EC2 Scaling*. Untuk informasi tentang cara mengganti konfigurasi peluncuran dengan templat peluncuran, lihat [Mengganti konfigurasi peluncuran dengan templat peluncuran](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) di *Panduan EC2 Pengguna Amazon*.

## [AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag
<a name="autoscaling-10"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan:** `tagged-autoscaling-autoscalinggroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup Auto Scaling tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup Auto Scaling tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="autoscaling-10-remediation"></a>

Untuk menambahkan tag ke grup Auto Scaling, lihat [Menandai grup dan instance Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) di Panduan Pengguna *Amazon EC2 Auto Scaling*.

# Kontrol CSPM Security Hub untuk Amazon ECR
<a name="ecr-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Registry (Amazon ECR).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
<a name="ecr-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3, PCI DSS v4.0.1/6.2.4

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori Amazon ECR pribadi memiliki pemindaian gambar yang dikonfigurasi. Kontrol gagal jika repositori ECR pribadi tidak dikonfigurasi untuk pemindaian saat push atau pemindaian berkelanjutan.

Pemindaian gambar ECR membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Mengkonfigurasi pemindaian gambar pada repositori ECR menambahkan lapisan verifikasi untuk integritas dan keamanan gambar yang disimpan.

### Remediasi
<a name="ecr-1-remediation"></a>

Untuk mengonfigurasi pemindaian gambar untuk repositori ECR, lihat [Pemindaian gambar](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) di Panduan Pengguna *Amazon Elastic Container Registry*.

## [ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
<a name="ecr-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-8 (1)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori ECR pribadi memiliki kekekalan tag yang diaktifkan. Kontrol ini gagal jika repositori ECR pribadi menonaktifkan kekekalan tag. Aturan ini berlaku jika kekekalan tag diaktifkan dan memiliki nilai. `IMMUTABLE`

Amazon ECR Tag Immutability memungkinkan pelanggan untuk mengandalkan tag deskriptif gambar sebagai mekanisme yang andal untuk melacak dan mengidentifikasi gambar secara unik. Tag yang tidak dapat diubah bersifat statis, yang berarti setiap tag mengacu pada gambar yang unik. Ini meningkatkan keandalan dan skalabilitas karena penggunaan tag statis akan selalu menghasilkan gambar yang sama yang digunakan. Saat dikonfigurasi, kekekalan tag mencegah tag diganti, yang mengurangi permukaan serangan.

### Remediasi
<a name="ecr-2-remediation"></a>

*Untuk membuat repositori dengan tag yang tidak dapat diubah yang dikonfigurasi atau memperbarui setelan mutabilitas tag gambar untuk repositori yang ada, lihat Mutabilitas [tag gambar di Panduan Pengguna Registri Amazon Elastic Container](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html).*

## [ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
<a name="ecr-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori Amazon ECR memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi. Kontrol ini gagal jika repositori ECR tidak memiliki kebijakan siklus hidup yang dikonfigurasi.

Kebijakan siklus hidup Amazon ECR memungkinkan Anda untuk menentukan manajemen siklus hidup citra dalam repositori. Dengan mengonfigurasi kebijakan siklus hidup, Anda dapat mengotomatiskan pembersihan gambar yang tidak digunakan dan kedaluwarsa gambar berdasarkan usia atau hitungan. Mengotomatiskan tugas-tugas ini dapat membantu Anda menghindari penggunaan gambar usang secara tidak sengaja di repositori Anda.

### Remediasi
<a name="ecr-3-remediation"></a>

Untuk mengonfigurasi kebijakan siklus hidup, lihat [Membuat pratinjau kebijakan siklus hidup di](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) Panduan Pengguna *Amazon Elastic Container Registry*.

## [ECR.4] Repositori publik ECR harus ditandai
<a name="ecr-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECR::PublicRepository`

**AWS Config aturan:** `tagged-ecr-publicrepository` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah repositori publik Amazon ECR memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika repositori publik tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika repositori publik tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecr-4-remediation"></a>

Untuk menambahkan tag ke repositori publik ECR, lihat [Menandai repositori publik Amazon ECR di Panduan Pengguna Registri *Amazon* Elastic](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) Container.

## [ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
<a name="ecr-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), Nist.800-53.R5 AU-9

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika repositori ECR tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 10 item)  |  1—10 kunci ARNs KMS yang ada. Misalnya: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah repositori Amazon ECR dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika repositori ECR tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Secara default, Amazon ECR mengenkripsi data repositori dengan kunci terkelola Amazon S3 (SSE-S3), menggunakan algoritma AES-256. Untuk kontrol tambahan, Anda dapat mengonfigurasi Amazon ECR untuk mengenkripsi data dengan AWS KMS key (SSE-KMS atau DSSE-KMS) sebagai gantinya. Kunci KMS dapat berupa: sebuah Kunci yang dikelola AWS yang Amazon ECR buat dan kelola untuk Anda dan memiliki alias`aws/ecr`, atau kunci yang dikelola pelanggan yang Anda buat dan kelola di Anda. Akun AWS Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.

**catatan**  
AWS KMS mendukung akses lintas akun ke kunci KMS. Jika repositori ECR dienkripsi dengan kunci KMS yang dimiliki oleh akun lain, kontrol ini tidak melakukan pemeriksaan lintas akun saat mengevaluasi repositori. Kontrol tidak menilai apakah Amazon ECR dapat mengakses dan menggunakan kunci saat melakukan operasi kriptografi untuk repositori.

### Remediasi
<a name="ecr-5-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi untuk repositori ECR yang ada. Namun, Anda dapat menentukan pengaturan enkripsi yang berbeda untuk repositori ECR yang kemudian Anda buat. Amazon ECR mendukung penggunaan pengaturan enkripsi yang berbeda untuk masing-masing repositori.

Untuk informasi selengkapnya tentang opsi enkripsi untuk repositori ECR, lihat [Enkripsi saat istirahat di Panduan](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) Pengguna *Amazon ECR*. Untuk informasi selengkapnya tentang pelanggan yang dikelola AWS KMS keys, lihat [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)di *Panduan AWS Key Management Service Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon ECS
<a name="ecs-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Service (Amazon ECS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna
<a name="ecs-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada Maret 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). Anda dapat merujuk ke kontrol berikut untuk evaluasi konfigurasi istimewa, konfigurasi mode jaringan, dan konfigurasi pengguna:   
 [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](#ecs-4) 
 [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](#ecs-17) 
 [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](#ecs-20) 
 [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](#ecs-21) 

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `SkipInactiveTaskDefinitions`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif dengan mode jaringan host memiliki `privileged` atau definisi `user` kontainer. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah`privileged=false`, kosong dan`user=root`, atau kosong.

Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Tujuan dari kontrol ini adalah untuk memastikan bahwa akses didefinisikan dengan sengaja ketika Anda menjalankan tugas yang menggunakan mode jaringan host. Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena Anda telah memilih konfigurasi itu. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host, dan Anda tidak memilih hak istimewa yang ditinggikan.

### Remediasi
<a name="ecs-1-remediation"></a>

Untuk informasi tentang cara memperbarui definisi tugas, lihat [Memperbarui definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

Saat Anda memperbarui definisi tugas, itu tidak memperbarui tugas yang sedang berjalan yang diluncurkan dari definisi tugas sebelumnya. Untuk memperbarui tugas yang sedang berjalan, Anda harus menerapkan ulang tugas dengan definisi tugas baru.

## [ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis
<a name="ecs-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan:** `ecs-service-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah layanan Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol ini gagal jika `AssignPublicIP` ada`ENABLED`. Kontrol ini lolos jika `AssignPublicIP` ada`DISABLED`.

Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Amazon ECS Anda dengan alamat IP publik, maka instans Amazon ECS Anda dapat dijangkau dari internet. Layanan Amazon ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.

### Remediasi
<a name="ecs-2-remediation"></a>

Pertama, Anda harus membuat definisi tugas untuk cluster Anda yang menggunakan mode `awsvpc` jaringan dan menentukan **FARGATE** untuk. `requiresCompatibilities` Kemudian, untuk **konfigurasi Compute**, pilih **Launch type** dan **FARGATE**. Terakhir, untuk bidang **Jaringan**, matikan **IP Publik** untuk menonaktifkan penugasan IP publik otomatis untuk layanan Anda.

## [ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
<a name="ecs-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas Amazon ECS dikonfigurasi untuk berbagi namespace proses host dengan kontainernya. Kontrol gagal jika definisi tugas membagikan namespace proses host dengan wadah yang berjalan di atasnya. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Namespace ID proses (PID) menyediakan pemisahan antar proses. Ini mencegah proses sistem agar tidak terlihat, dan memungkinkan PIDs untuk digunakan kembali, termasuk PID 1. Jika namespace PID host dibagikan dengan kontainer, itu akan memungkinkan kontainer untuk melihat semua proses pada sistem host. Ini mengurangi manfaat isolasi tingkat proses antara host dan wadah. Keadaan ini dapat menyebabkan akses tidak sah ke proses pada host itu sendiri, termasuk kemampuan untuk memanipulasi dan menghentikannya. Pelanggan tidak boleh membagikan namespace proses host dengan wadah yang berjalan di atasnya.

### Remediasi
<a name="ecs-3-remediation"></a>

Untuk mengonfigurasi definisi tugas, lihat [Parameter definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) di Panduan Pengembang Layanan Amazon Elastic Container. `pidMode`

## [ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa
<a name="ecs-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah `privileged` parameter dalam definisi penampung Definisi Tugas Amazon ECS disetel ke`true`. Kontrol gagal jika parameter ini sama dengan`true`. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Kami menyarankan Anda menghapus hak istimewa yang ditinggikan dari definisi tugas ECS Anda. Ketika parameter privilege adalah`true`, wadah diberikan hak istimewa yang ditinggikan pada instance wadah host (mirip dengan pengguna root).

### Remediasi
<a name="ecs-4-remediation"></a>

Untuk mengonfigurasi `privileged` parameter pada definisi tugas, lihat [Parameter definisi kontainer lanjutan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) di Panduan Pengembang Layanan Kontainer Elastis Amazon.

## [ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root
<a name="ecs-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas ECS mengonfigurasi kontainer agar dibatasi pada akses hanya-baca ke sistem file root yang dipasang. Kontrol gagal jika `readonlyRootFilesystem` parameter dalam definisi wadah definisi tugas ECS disetel ke`false`, atau parameter tidak ada dalam definisi wadah dalam definisi tugas. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Jika `readonlyRootFilesystem` parameter disetel ke `true` dalam definisi tugas Amazon ECS, wadah ECS diberikan akses hanya-baca ke sistem file root-nya. Ini mengurangi vektor serangan keamanan karena sistem file root instance container tidak dapat dirusak atau ditulis tanpa mount volume eksplisit yang memiliki izin baca-tulis untuk folder dan direktori sistem file. Mengaktifkan opsi ini juga mematuhi prinsip hak istimewa paling sedikit.

**catatan**  
`readonlyRootFilesystem`Parameter tidak didukung untuk wadah Windows. Definisi tugas dengan `runtimePlatform` dikonfigurasi untuk menentukan keluarga `WINDOWS_SERVER` OS ditandai sebagai `NOT_APPLICABLE` dan tidak akan menghasilkan temuan untuk kontrol ini. 

### Remediasi
<a name="ecs-5-remediation"></a>

Untuk memberikan akses read-only container Amazon ECS ke sistem file root, tambahkan `readonlyRootFilesystem` parameter ke definisi tugas untuk container, dan tetapkan nilai untuk parameter tersebut. `true` Untuk informasi tentang parameter definisi tugas dan cara menambahkannya ke definisi tugas, lihat definisi tugas [Amazon ECS dan [Memperbarui](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

## [ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
<a name="ecs-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2

**Kategori:** Lindungi > Pengembangan aman > Kredensyal tidak dikodekan dengan keras

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`secretKeys`:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (tidak dapat disesuaikan) 

Kontrol ini memeriksa apakah nilai kunci dari setiap variabel dalam `environment` parameter definisi kontainer termasuk`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini gagal jika variabel lingkungan tunggal dalam definisi kontainer sama`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini tidak mencakup variabel lingkungan yang diteruskan dari lokasi lain seperti Amazon S3. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

AWS Systems Manager Parameter Store dapat membantu Anda meningkatkan postur keamanan organisasi Anda. Sebaiknya gunakan Parameter Store untuk menyimpan rahasia dan kredensyal alih-alih langsung meneruskannya ke instance kontainer Anda atau mengkodekannya dengan keras ke dalam kode Anda.

### Remediasi
<a name="ecs-8-remediation"></a>

Untuk membuat parameter menggunakan SSM, lihat [Membuat parameter Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) di *Panduan AWS Systems Manager Pengguna*. Untuk informasi selengkapnya tentang membuat definisi tugas yang menentukan rahasia, lihat Menentukan [data sensitif menggunakan Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) di Panduan *Pengembang Layanan Amazon Elastic Container*.

## [ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
<a name="ecs-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: ecs-task-definition-log** [-konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif terbaru memiliki konfigurasi logging yang ditentukan. Kontrol gagal jika definisi tugas tidak memiliki `logConfiguration` properti yang ditentukan atau jika nilai untuk `logDriver` adalah nol dalam setidaknya satu definisi kontainer.

Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja Amazon ECS. Mengumpulkan data dari definisi tugas memberikan visibilitas, yang dapat membantu Anda men-debug proses dan menemukan akar penyebab kesalahan. Jika Anda menggunakan solusi logging yang tidak harus didefinisikan dalam definisi tugas ECS (seperti solusi logging pihak ketiga), Anda dapat menonaktifkan kontrol ini setelah memastikan bahwa log Anda ditangkap dan dikirim dengan benar.

### Remediasi
<a name="ecs-9-remediation"></a>

Untuk menentukan konfigurasi log untuk definisi tugas Amazon ECS Anda, lihat [Menentukan konfigurasi log dalam definisi tugas Anda di Panduan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Pengembang Layanan Amazon Elastic Container*.

## [ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
<a name="ecs-10"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `latestLinuxVersion: 1.4.0`(tidak dapat disesuaikan)
+ `latestWindowsVersion: 1.0.0`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Kontrol ini gagal jika versi platform bukan yang terbaru.

AWS Fargate Versi platform mengacu pada lingkungan runtime tertentu untuk infrastruktur tugas Fargate, yang merupakan kombinasi dari versi runtime kernel dan container. Versi platform baru dirilis saat lingkungan runtime berkembang. Misalnya, versi baru dapat dirilis untuk pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Pembaruan dan tambalan keamanan diterapkan secara otomatis untuk tugas Fargate Anda. Jika ditemukan masalah keamanan yang memengaruhi versi platform, AWS tambal versi platform. 

### Remediasi
<a name="ecs-10-remediation"></a>

Untuk memperbarui layanan yang ada, termasuk versi platformnya, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

## [ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer
<a name="ecs-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster ECS menggunakan Wawasan Kontainer. Kontrol ini gagal jika Wawasan Kontainer tidak disiapkan untuk klaster.

Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja klaster Amazon ECS. Gunakan CloudWatch Wawasan Kontainer untuk mengumpulkan, menggabungkan, dan meringkas metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. CloudWatch Secara otomatis mengumpulkan metrik untuk banyak sumber daya, seperti CPU, memori, disk, dan jaringan. Wawasan Kontainer juga akan menyediakan informasi diagnostik, seperti kegagalan mengulang kembali kontainer, untuk membantu Anda melakukan isolasi atas masalah dan mengatasi masalah itu dengan cepat. Anda juga dapat menyetel CloudWatch alarm pada metrik yang dikumpulkan Container Insights.

### Remediasi
<a name="ecs-12-remediation"></a>

Untuk menggunakan Wawasan Penampung, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) di *Panduan CloudWatch Pengguna Amazon*.

## [ECS.13] Layanan ECS harus ditandai
<a name="ecs-13"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan:** `tagged-ecs-service` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah layanan Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-13-remediation"></a>

Untuk menambahkan tag ke layanan ECS, lihat [Menandai resource Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) Anda di Panduan Pengembang *Layanan Kontainer Elastis Amazon*.

## [ECS.14] Cluster ECS harus ditandai
<a name="ecs-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::Cluster`

**AWS Config aturan:** `tagged-ecs-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-14-remediation"></a>

Untuk menambahkan tag ke cluster ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.

## [ECS.15] Definisi tugas ECS harus ditandai
<a name="ecs-15"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan:** `tagged-ecs-taskdefinition` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah definisi tugas Amazon ECS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika definisi tugas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika definisi tugas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-15-remediation"></a>

Untuk menambahkan tag ke definisi tugas ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.

## [ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
<a name="ecs-16"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskSet`

**AWS Config aturan:** `ecs-taskset-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah set tugas Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol gagal jika `AssignPublicIP` disetel ke`ENABLED`.

Alamat IP publik dapat dijangkau dari internet. Jika Anda mengonfigurasi set tugas Anda dengan alamat IP publik, sumber daya yang terkait dengan kumpulan tugas dapat dijangkau dari internet. Kumpulan tugas ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.

### Remediasi
<a name="ecs-16-remediation"></a>

Untuk memperbarui set tugas ECS agar tidak menggunakan alamat IP publik, lihat [Memperbarui definisi tugas Amazon ECS menggunakan konsol di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Layanan Amazon Elastic Container*.

## [ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
<a name="ecs-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan mode `host` jaringan. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS menggunakan mode `host` jaringan.

Saat menggunakan mode `host` jaringan, jaringan wadah Amazon ECS terikat langsung ke host yang mendasari yang menjalankan penampung. Akibatnya, mode ini memungkinkan kontainer untuk terhubung ke layanan jaringan loopback pribadi pada host dan untuk meniru host. Kelemahan signifikan lainnya adalah tidak ada cara untuk memetakan ulang port kontainer saat menggunakan mode `host` jaringan, dan Anda tidak dapat menjalankan lebih dari satu instance tugas di setiap host.

### Remediasi
<a name="ecs-17-remediation"></a>

Untuk informasi tentang mode jaringan dan opsi untuk tugas Amazon ECS yang dihosting di instans Amazon EC2, lihat [opsi jaringan tugas Amazon ECS untuk jenis peluncuran EC2 di Panduan Pengembang Layanan Kontainer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) Elastis *Amazon*. Untuk informasi tentang membuat revisi baru definisi tugas dan menentukan mode jaringan yang berbeda, lihat [Memperbarui definisi tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dalam panduan tersebut.

Jika definisi tugas Amazon ECS dibuat oleh AWS Batch, lihat [Mode jaringan untuk AWS Batch pekerjaan untuk](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) mempelajari tentang mode jaringan dan penggunaan umum untuk jenis AWS Batch pekerjaan dan untuk memilih opsi yang aman.

## [ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
<a name="ecs-18"></a>

**Kategori:** Lindungi > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan enkripsi dalam transit untuk volume EFS. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS memiliki enkripsi dalam transit dinonaktifkan untuk volume EFS.

Volume Amazon EFS menyediakan penyimpanan file bersama yang sederhana, dapat diskalakan, dan persisten untuk digunakan dengan tugas Amazon ECS Anda. Amazon EFS mendukung enkripsi data dalam perjalanan dengan Transport Layer Security (TLS). Saat enkripsi data dalam perjalanan dinyatakan sebagai opsi pemasangan untuk sistem file EFS Anda, Amazon EFS membuat koneksi TLS yang aman dengan sistem file EFS Anda saat memasang sistem file Anda.

### Remediasi
<a name="ecs-18-remediation"></a>

Untuk informasi tentang mengaktifkan enkripsi dalam perjalanan untuk Definisi Tugas Amazon ECS dengan volume EFS, lihat [Langkah 5: Membuat definisi tugas di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) *Layanan Amazon Elastic Container*.

## [ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan
<a name="ecs-19"></a>

**Kategori:** Lindungi > Perlindungan Data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::CapacityProvider`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penyedia kapasitas Amazon ECS telah mengelola perlindungan penghentian yang diaktifkan. Kontrol gagal jika perlindungan terminasi terkelola tidak diaktifkan pada penyedia kapasitas ECS.

Penyedia kapasitas Amazon ECS mengelola penskalaan infrastruktur untuk tugas di cluster Anda. Saat menggunakan instans EC2 untuk kapasitas Anda, Anda menggunakan grup Auto Scaling untuk mengelola instans EC2. Perlindungan terminasi terkelola memungkinkan penskalaan otomatis cluster untuk mengontrol instance mana yang dihentikan. Saat Anda menggunakan perlindungan penghentian terkelola, Amazon ECS hanya menghentikan instans EC2 yang tidak menjalankan tugas Amazon ECS.

**catatan**  
Saat menggunakan perlindungan terminasi terkelola, penskalaan terkelola juga harus digunakan jika tidak, perlindungan terminasi terkelola tidak berfungsi.

### Remediasi
<a name="ecs-19-remediation"></a>

Untuk mengaktifkan perlindungan penghentian terkelola bagi penyedia kapasitas Amazon ECS, lihat [Memperbarui perlindungan penghentian terkelola untuk penyedia kapasitas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) di Panduan *Pengembang Layanan Amazon Elastic Container*.

## [ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
<a name="ecs-20"></a>

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Linux untuk dijalankan sebagai pengguna non-root. Kontrol gagal jika pengguna root default dikonfigurasi atau konfigurasi pengguna tidak ada untuk wadah apa pun.

Ketika wadah Linux berjalan dengan hak akses root, mereka menimbulkan beberapa risiko keamanan yang signifikan. Pengguna root memiliki akses tidak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya. Jika kontainer yang berjalan sebagai root dikompromikan, penyerang dapat mengeksploitasi ini untuk mengakses atau memodifikasi sumber daya sistem host, yang memengaruhi wadah lain atau host itu sendiri. Selain itu, akses root dapat mengaktifkan serangan eskalasi hak istimewa, memungkinkan penyerang untuk mendapatkan izin tambahan di luar cakupan wadah yang dimaksudkan. Parameter pengguna dalam definisi tugas ECS dapat menentukan pengguna dalam beberapa format, termasuk nama pengguna, ID pengguna, nama pengguna dengan grup, atau UID dengan ID grup. Penting untuk mengetahui berbagai format ini saat mengonfigurasi definisi tugas untuk memastikan tidak ada akses root yang diberikan secara tidak sengaja. Mengikuti prinsip hak istimewa terkecil, kontainer harus berjalan dengan izin minimum yang diperlukan menggunakan pengguna non-root. Pendekatan ini secara signifikan mengurangi potensi permukaan serangan dan mengurangi dampak dari potensi pelanggaran keamanan. 

**catatan**  
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `LINUX` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai pengguna root default. Pengguna root default untuk `LINUX` kontainer adalah `"root"` dan`"0"`.

### Remediasi
<a name="ecs-20-remediation"></a>

Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.

## [ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows
<a name="ecs-21"></a>

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Windows untuk dijalankan sebagai pengguna yang bukan administrator default. Kontrol gagal jika administrator default dikonfigurasi sebagai konfigurasi pengguna atau pengguna tidak ada untuk wadah apa pun.

Ketika wadah Windows berjalan dengan hak administrator, mereka menimbulkan beberapa risiko keamanan yang signifikan. Administrator memiliki akses tak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya.

**catatan**  
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `WINDOWS_SERVER` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai administrator default untuk `WINDOWS_SERVER` wadah yang`"containeradministrator"`.

### Remediasi
<a name="ecs-21-remediation"></a>

Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.

# Kontrol CSPM Security Hub untuk Amazon EFS
<a name="efs-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic File System (Amazon EFS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
<a name="efs-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut.
+ `Encrypted`diatur ke `false` dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons.
+ `KmsKeyId`Kunci dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons tidak cocok dengan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Perhatikan bahwa kontrol ini tidak menggunakan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Itu hanya memeriksa nilai`Encrypted`.

Untuk lapisan keamanan tambahan untuk data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat [Enkripsi data di Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) di *Panduan Pengguna Amazon Elastic File System*.

### Remediasi
<a name="efs-1-remediation"></a>

Untuk detail tentang cara mengenkripsi sistem file Amazon EFS baru, lihat [Mengenkripsi data saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Amazon Elastic File System*.

## [EFS.2] Volume Amazon EFS harus dalam rencana cadangan
<a name="efs-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Cadangan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam paket cadangan. 

Menyertakan sistem file EFS dalam paket cadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.

### Remediasi
<a name="efs-2-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis untuk sistem file Amazon EFS yang ada, lihat [Memulai 4: Membuat cadangan otomatis Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) di Panduan Pengembang.AWS Backup *

## [EFS.3] Titik akses EFS harus menegakkan direktori root
<a name="efs-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-6 (10)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai `Path` diatur ke `/` (direktori root default dari sistem file).

Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.

### Remediasi
<a name="efs-3-remediation"></a>

Untuk petunjuk tentang cara menerapkan direktori root untuk jalur akses Amazon EFS, lihat [Menerapkan direktori root dengan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) di *Panduan Pengguna Amazon Elastic File System*. 

## [EFS.4] Titik akses EFS harus menegakkan identitas pengguna
<a name="efs-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas pengguna POSIX tidak ditentukan saat membuat titik akses EFS.

Titik akses Amazon EFS adalah titik masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.

### Remediasi
<a name="efs-4-remediation"></a>

Untuk menerapkan identitas pengguna untuk jalur akses Amazon EFS, lihat [Menerapkan identitas pengguna menggunakan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) di Panduan *Pengguna Amazon Elastic File System*. 

## [EFS.5] Titik akses EFS harus ditandai
<a name="efs-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan:** `tagged-efs-accesspoint` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah titik akses Amazon EFS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="efs-5-remediation"></a>

Untuk menambahkan tag ke titik akses EFS, lihat [Menandai resource Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) di *Panduan Pengguna Amazon Elastic File System*.

## [EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan
<a name="efs-6"></a>

**Kategori:** Lindungi > Keamanan jaringan > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah target pemasangan Amazon EFS dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan. Kontrol gagal jika target pemasangan dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan.

Subnet memiliki atribut yang menentukan apakah antarmuka jaringan secara otomatis menerima publik IPv4 dan IPv6 alamat. Untuk IPv4, atribut ini disetel ke `TRUE` untuk subnet default dan `FALSE` untuk subnet nondefault (dengan pengecualian untuk subnet nondefault yang dibuat melalui wizard instans peluncuran EC2, yang disetel ke). `TRUE` Untuk IPv6, atribut ini diatur ke `FALSE` untuk semua subnet secara default. Ketika atribut ini diaktifkan, instance yang diluncurkan di subnet secara otomatis menerima alamat IP yang sesuai (IPv4 atau IPv6) pada antarmuka jaringan utama mereka. Target pemasangan Amazon EFS yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.

### Remediasi
<a name="efs-6-remediation"></a>

Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet yang tidak menetapkan alamat IP publik saat peluncuran dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat [Membuat dan mengelola target mount dan grup keamanan](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) di *Panduan Pengguna Amazon Elastic File System*. 

## [EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
<a name="efs-7"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengaktifkan pencadangan otomatis. Kontrol ini gagal jika sistem file EFS tidak mengaktifkan pencadangan otomatis.

Cadangan data adalah salinan sistem, konfigurasi, atau data aplikasi Anda yang disimpan secara terpisah dari aslinya. Mengaktifkan pencadangan reguler membantu Anda melindungi data berharga dari peristiwa tak terduga seperti kegagalan sistem, serangan siber, atau penghapusan yang tidak disengaja. Memiliki strategi cadangan yang kuat juga memfasilitasi pemulihan yang lebih cepat, kelangsungan bisnis, dan ketenangan pikiran dalam menghadapi potensi kehilangan data.

### Remediasi
<a name="efs-7-remediation"></a>

Untuk informasi tentang penggunaan AWS Backup untuk sistem file EFS, lihat [Mencadangkan sistem file EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) di *Panduan Pengguna Amazon Elastic File System*.

## [EFS.8] Sistem file EFS harus dienkripsi saat istirahat
<a name="efs-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengenkripsi data dengan AWS Key Management Service ()AWS KMS. Kontrol gagal jika sistem file tidak dienkripsi.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="efs-8-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk sistem file EFS baru, lihat [Mengenkripsi data saat istirahat di](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Panduan Pengguna Amazon Elastic File System*.

# Kontrol CSPM Security Hub untuk Amazon EKS
<a name="eks-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Kubernetes Service (Amazon EKS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik
<a name="eks-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akhir kluster Amazon EKS dapat diakses publik. Kontrol gagal jika kluster EKS memiliki titik akhir yang dapat diakses publik.

Saat Anda membuat klaster baru, Amazon EKS membuat endpoint untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda. Secara default, titik akhir server API ini tersedia untuk umum di internet. Akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan Kubernetes Role Based Access Control (RBAC) asli. Dengan menghapus akses publik ke titik akhir, Anda dapat menghindari eksposur yang tidak disengaja dan akses ke cluster Anda.

### Remediasi
<a name="eks-1-remediation"></a>

Untuk mengubah akses titik akhir untuk kluster EKS yang ada, lihat [Memodifikasi akses titik akhir klaster di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) Pengguna **Amazon EKS**. Anda dapat mengatur akses titik akhir untuk kluster EKS baru saat membuatnya. Untuk petunjuk cara membuat kluster Amazon EKS baru, lihat [Membuat klaster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) di **Panduan Pengguna Amazon EKS**. 

## [EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
<a name="eks-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `oldestVersionSupported`: `1.33` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Kontrol gagal jika kluster EKS berjalan pada versi yang tidak didukung.

Jika aplikasi Anda tidak memerlukan versi Kubernetes tertentu, kami sarankan Anda menggunakan versi Kubernetes terbaru yang tersedia yang didukung oleh EKS untuk cluster Anda. **Untuk informasi selengkapnya, lihat [kalender rilis Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) dan [Memahami siklus hidup versi Kubernetes di Amazon EKS di Panduan Pengguna Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**

### Remediasi
<a name="eks-2-remediation"></a>

Untuk memperbarui kluster EKS, lihat [Memperbarui klaster yang ada ke versi Kubernetes baru di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) Pengguna **Amazon EKS**. 

## [EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
<a name="eks-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon EKS menggunakan rahasia Kubernetes terenkripsi. Kontrol gagal jika rahasia Kubernetes cluster tidak dienkripsi.

Saat Anda mengenkripsi rahasia, Anda dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk menyediakan enkripsi amplop rahasia Kubernetes yang disimpan di etcd untuk klaster Anda. Enkripsi ini merupakan tambahan dari enkripsi volume EBS yang diaktifkan secara default untuk semua data (termasuk rahasia) yang disimpan dalam etcd sebagai bagian dari cluster EKS. Menggunakan enkripsi rahasia untuk kluster EKS Anda memungkinkan Anda untuk menerapkan strategi pertahanan secara mendalam untuk aplikasi Kubernetes dengan mengenkripsi rahasia Kubernetes dengan kunci KMS yang Anda tentukan dan kelola.

### Remediasi
<a name="eks-3-remediation"></a>

Untuk mengaktifkan enkripsi rahasia pada kluster EKS, lihat [Mengaktifkan enkripsi rahasia pada klaster yang ada](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) di **Panduan Pengguna Amazon EKS**. 

## [EKS.6] Kluster EKS harus ditandai
<a name="eks-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan:** `tagged-eks-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eks-6-remediation"></a>

Untuk menambahkan tag ke kluster EKS, lihat [Menandai resource Amazon EKS Anda](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) di **Panduan Pengguna Amazon EKS**.

## [EKS.7] Konfigurasi penyedia identitas EKS harus ditandai
<a name="eks-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EKS::IdentityProviderConfig`

**AWS Config aturan:** `tagged-eks-identityproviderconfig` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konfigurasi penyedia identitas Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eks-7-remediation"></a>

Untuk menambahkan tag ke konfigurasi penyedia identitas EKS, lihat [Menandai resource Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) Anda di **Panduan Pengguna Amazon EKS**.

## [EKS.8] Kluster EKS harus mengaktifkan pencatatan audit
<a name="eks-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logTypes: audit`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon EKS telah mengaktifkan pencatatan audit. Kontrol gagal jika pencatatan audit tidak diaktifkan untuk klaster.

**catatan**  
Kontrol ini tidak memeriksa apakah pencatatan audit Amazon EKS diaktifkan melalui Amazon Security Lake untuk Akun AWS.

Pencatatan pesawat kontrol EKS menyediakan log audit dan diagnostik langsung dari bidang kontrol EKS ke Amazon CloudWatch Logs di akun Anda. Anda dapat memilih jenis log yang Anda butuhkan, dan log dikirim sebagai aliran log ke grup untuk setiap kluster EKS. CloudWatch Logging memberikan visibilitas ke dalam akses dan kinerja kluster EKS. Dengan mengirimkan log pesawat kontrol EKS untuk kluster EKS Anda ke CloudWatch Log, Anda dapat merekam operasi untuk tujuan audit dan diagnostik di lokasi pusat.

### Remediasi
<a name="eks-8-remediation"></a>

Untuk mengaktifkan log audit untuk kluster EKS Anda, lihat [Mengaktifkan dan menonaktifkan log bidang kontrol di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) Pengguna **Amazon EKS**. 

# Kontrol CSPM Security Hub untuk ElastiCache
<a name="elasticache-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi ElastiCache layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis
<a name="elasticache-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Periode retensi snapshot minimum dalam beberapa hari  |  Bilangan Bulat  |  `1` untuk `35`  |  `1`  | 

Kontrol ini mengevaluasi apakah klaster Amazon ElastiCache (Redis OSS) mengaktifkan pencadangan otomatis. Kontrol gagal jika `SnapshotRetentionLimit` untuk cluster Redis OSS kurang dari periode waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 1 hari.

ElastiCache (Redis OSS) cluster dapat mencadangkan data mereka. Anda dapat menggunakan backup untuk memulihkan klaster atau menyemai klaster baru. Cadangan terdiri dari metadata cluster, bersama dengan semua data di cluster. Semua cadangan ditulis ke Amazon S3, yang menyediakan penyimpanan tahan lama. Anda dapat memulihkan data Anda dengan membuat ElastiCache cluster baru dan mengisinya dengan data dari cadangan. Anda dapat mengelola backup menggunakan Konsol Manajemen AWS, the AWS CLI, dan API. ElastiCache 

**catatan**  
Kontrol ini juga mengevaluasi kelompok replikasi ElastiCache (Redis OSS dan Valkey).

### Remediasi
<a name="elasticache-1-remediation"></a>

*Untuk informasi tentang penjadwalan pencadangan otomatis untuk ElastiCache klaster, lihat [Menjadwalkan pencadangan otomatis](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) di Panduan Pengguna Amazon. ElastiCache *

## [ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
<a name="elasticache-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah Amazon ElastiCache secara otomatis menerapkan upgrade versi minor ke cluster cache. Kontrol gagal jika cluster cache tidak memiliki upgrade versi minor secara otomatis diterapkan.

**catatan**  
Kontrol ini tidak berlaku untuk cluster ElastiCache Memcached.

Upgrade versi minor otomatis adalah fitur yang dapat Anda aktifkan di Amazon ElastiCache untuk secara otomatis meningkatkan cluster cache Anda ketika versi mesin cache minor baru tersedia. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up-to-date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="elasticache-2-remediation"></a>

Untuk secara otomatis menerapkan upgrade versi minor ke cluster ElastiCache cache yang ada, lihat [Pengelolaan versi untuk ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) di *Panduan ElastiCache Pengguna Amazon*.

## [ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
<a name="elasticache-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi mengaktifkan failover otomatis. Kontrol gagal jika failover otomatis tidak diaktifkan untuk grup replikasi.

Ketika failover otomatis diaktifkan untuk grup replikasi, peran node utama akan secara otomatis gagal ke salah satu replika baca. Promosi failover dan replika ini memastikan bahwa Anda dapat melanjutkan penulisan ke primer baru setelah promosi selesai, yang mengurangi waktu henti secara keseluruhan jika terjadi kegagalan.

### Remediasi
<a name="elasticache-3-remediation"></a>

Untuk mengaktifkan failover otomatis untuk grup ElastiCache replikasi yang ada, lihat [Memodifikasi ElastiCache klaster di Panduan](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) Pengguna *Amazon ElastiCache *. Jika Anda menggunakan ElastiCache konsol, setel **Auto failover** ke diaktifkan.

## [ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
<a name="elasticache-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi saat istirahat. Kontrol gagal jika grup replikasi tidak dienkripsi saat istirahat.

Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. ElastiCache (Redis OSS) grup replikasi harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="elasticache-4-remediation"></a>

*Untuk mengonfigurasi enkripsi saat istirahat pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) Amazon. ElastiCache *

## [ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
<a name="elasticache-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi dalam perjalanan. Kontrol gagal jika grup replikasi tidak dienkripsi saat transit.

Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan. Mengaktifkan enkripsi dalam transit pada grup ElastiCache replikasi mengenkripsi data Anda setiap kali data berpindah dari satu tempat ke tempat lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda.

### Remediasi
<a name="elasticache-5-remediation"></a>

*Untuk mengonfigurasi enkripsi dalam transit pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi dalam transit di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) Amazon. ElastiCache *

## [ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH
<a name="elasticache-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1),, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup replikasi ElastiCache (Redis OSS) mengaktifkan Redis OSS AUTH. Kontrol gagal jika versi Redis OSS dari node grup replikasi di bawah 6.0 dan `AuthToken` tidak digunakan.

Saat Anda menggunakan token otentikasi Redis, atau kata sandi, Redis memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, yang meningkatkan keamanan data. Untuk Redis 6.0 dan versi yang lebih baru, sebaiknya gunakan Role-Based Access Control (RBAC). Karena RBAC tidak didukung untuk versi Redis lebih awal dari 6.0, kontrol ini hanya mengevaluasi versi yang tidak dapat menggunakan fitur RBAC.

### Remediasi
<a name="elasticache-6-remediation"></a>

*Untuk menggunakan Redis AUTH pada grup replikasi ElastiCache (Redis OSS), lihat [Memodifikasi token AUTH pada klaster ElastiCache (Redis OSS) yang ada](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) di Panduan Pengguna Amazon. ElastiCache *

## [ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
<a name="elasticache-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ElastiCache cluster dikonfigurasi dengan grup subnet kustom. Kontrol gagal jika `CacheSubnetGroupName` untuk ElastiCache cluster memiliki nilai`default`.

Saat meluncurkan ElastiCache cluster, grup subnet default dibuat jika belum ada. Grup default menggunakan subnet dari Virtual Private Cloud (VPC) default. Sebaiknya gunakan grup subnet khusus yang lebih membatasi subnet tempat cluster berada, dan jaringan yang diwarisi cluster dari subnet.

### Remediasi
<a name="elasticache-7-remediation"></a>

Untuk membuat grup subnet baru untuk ElastiCache klaster, lihat [Membuat grup subnet](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) di * ElastiCache Panduan Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Elastic Beanstalk layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan
<a name="elasticbeanstalk-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pelaporan kesehatan yang ditingkatkan diaktifkan untuk AWS Elastic Beanstalk lingkungan Anda.

Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi.

Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. Agen kesehatan Elastic Beanstalk, termasuk dalam Amazon Machine AMIs Images () yang didukung, mengevaluasi log dan metrik contoh lingkungan. EC2

Untuk informasi tambahan, lihat [Pelaporan dan pemantauan kesehatan yang disempurnakan](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) di *Panduan AWS Elastic Beanstalk Pengembang*.

### Remediasi
<a name="elasticbeanstalk-1-remediation"></a>

*Untuk petunjuk tentang cara mengaktifkan pelaporan kesehatan yang disempurnakan, lihat [Mengaktifkan pelaporan kesehatan yang disempurnakan menggunakan konsol Elastic Beanstalk di](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) Panduan Pengembang.AWS Elastic Beanstalk *

## [ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
<a name="elasticbeanstalk-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Tingkat pembaruan versi  |  Enum  |  `minor`, `patch`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pembaruan platform terkelola diaktifkan untuk lingkungan Elastic Beanstalk. Kontrol gagal jika tidak ada pembaruan platform terkelola yang diaktifkan. Secara default, kontrol lolos jika semua jenis pembaruan platform diaktifkan. Secara opsional, Anda dapat memberikan nilai parameter khusus untuk memerlukan tingkat pembaruan tertentu.

Mengaktifkan pembaruan platform terkelola memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="elasticbeanstalk-2-remediation"></a>

Untuk mengaktifkan pembaruan platform terkelola, lihat [Untuk mengonfigurasi pembaruan platform terkelola di bawah Pembaruan platform terkelola](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) di *Panduan AWS Elastic Beanstalk Pengembang*.

## [ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
<a name="elasticbeanstalk-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Jumlah hari untuk menyimpan peristiwa log sebelum kedaluwarsa  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lingkungan Elastic Beanstalk dikonfigurasi untuk mengirim log ke Log. CloudWatch Kontrol gagal jika lingkungan Elastic Beanstalk tidak dikonfigurasi untuk mengirim log ke Log. CloudWatch Secara opsional, Anda dapat memberikan nilai kustom untuk `RetentionInDays` parameter jika Anda ingin kontrol lulus hanya jika log dipertahankan untuk jumlah hari yang ditentukan sebelum kedaluwarsa.

CloudWatch membantu Anda mengumpulkan dan memantau berbagai metrik untuk aplikasi dan sumber daya infrastruktur Anda. Anda juga dapat menggunakan CloudWatch untuk mengonfigurasi tindakan alarm berdasarkan metrik tertentu. Sebaiknya integrasikan Elastic Beanstalk dengan Elastic CloudWatch Beanstalk untuk meningkatkan visibilitas ke lingkungan Elastic Beanstalk Anda. Log Elastic Beanstalk mencakup eb-activity.log, log akses dari server proxy nginx atau Apache lingkungan, dan log yang khusus untuk lingkungan.

### Remediasi
<a name="elasticbeanstalk-3-remediation"></a>

*Untuk mengintegrasikan Elastic CloudWatch Beanstalk dengan Log[, lihat Streaming CloudWatch log instance ke Log di Panduan Pengembang](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *

# Kontrol CSPM Security Hub untuk Elastic Load Balancing
<a name="elb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Elastic Load Balancing. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS
<a name="elb-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2),, (1), 2 (3), 3, 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), (4),, (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)** 

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengalihan HTTP ke HTTPS dikonfigurasi pada semua pendengar HTTP Application Load Balancers. Kontrol gagal jika salah satu pendengar HTTP dari Application Load Balancers tidak memiliki pengalihan HTTP ke HTTPS yang dikonfigurasi.

Sebelum Anda mulai menggunakan Application Load Balancer, Anda harus menambahkan satu atau lebih pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar mendukung protokol HTTP dan HTTPS. Anda dapat menggunakan pendengar HTTPS untuk menurunkan pekerjaan enkripsi dan dekripsi ke penyeimbang beban Anda. Untuk menerapkan enkripsi dalam perjalanan, Anda harus menggunakan tindakan pengalihan dengan Application Load Balancers untuk mengarahkan permintaan HTTP klien ke permintaan HTTPS pada port 443.

Untuk mempelajari lebih lanjut, lihat [Pendengar untuk Penyeimbang Beban Aplikasi Anda di *Panduan Pengguna untuk* Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html).

### Remediasi
<a name="elb-1-remediation"></a>

Untuk mengarahkan permintaan HTTP ke HTTPS, Anda harus menambahkan aturan pendengar Application Load Balancer atau mengedit aturan yang ada.

Untuk petunjuk tentang menambahkan aturan baru, lihat [Menambahkan aturan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*. Untuk **Protokol: Port**, pilih **HTTP**, dan kemudian masukkan**80**. Untuk **Add action, Redirect ke**, pilih **HTTPS**, lalu masukkan**443**.

Untuk petunjuk cara mengedit aturan yang ada, lihat [Mengedit aturan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*. Untuk **Protokol: Port**, pilih **HTTP**, dan kemudian masukkan**80**. Untuk **Add action, Redirect ke**, pilih **HTTPS**, lalu masukkan**443**.

## [ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager
<a name="elb-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.8 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Classic Load Balancer menggunakan HTTPS/SSL sertifikat yang disediakan oleh AWS Certificate Manager (ACM). Kontrol gagal jika Classic Load Balancer yang dikonfigurasi dengan HTTPS/SSL listener tidak menggunakan sertifikat yang disediakan oleh ACM.

Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Security Hub CSPM merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk penyeimbang beban Anda.

ACM terintegrasi dengan Classic Load Balancers sehingga Anda dapat menyebarkan sertifikat pada penyeimbang beban Anda. Anda juga harus memperbarui sertifikat ini secara otomatis.

### Remediasi
<a name="elb-2-remediation"></a>

Untuk informasi tentang cara mengaitkan SSL/TLS sertifikat ACM dengan Classic Load Balancer, lihat AWS [artikel Pusat Pengetahuan Bagaimana cara mengaitkan sertifikat SSL/TLS ACM dengan Classic, Application, atau Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS
<a name="elb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-171.r2 3.13.8, Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pendengar Classic Load Balancer Anda dikonfigurasi dengan protokol HTTPS atau TLS untuk koneksi front-end (client to load balancer). Kontrol ini berlaku jika Classic Load Balancer memiliki pendengar. Jika Classic Load Balancer Anda tidak memiliki listener yang dikonfigurasi, kontrol tidak melaporkan temuan apa pun.

Kontrol akan diteruskan jika pendengar Classic Load Balancer dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end.

Kontrol gagal jika pendengar tidak dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end.

Sebelum Anda mulai menggunakan penyeimbang beban, Anda harus menambahkan satu atau lebih pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar dapat mendukung HTTP dan HTTPS/TLS protokol. Anda harus selalu menggunakan pendengar HTTPS atau TLS, sehingga penyeimbang beban melakukan pekerjaan enkripsi dan dekripsi dalam perjalanan.

### Remediasi
<a name="elb-3-remediation"></a>

Untuk mengatasi masalah ini, perbarui pendengar Anda untuk menggunakan protokol TLS atau HTTPS.

**Untuk mengubah semua pendengar yang tidak patuh menjadi pendengar TLS/HTTPS**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, di bawah **Penyeimbangan Beban**, pilih **Penyeimbang Beban**.

1. Pilih Classic Load Balancer Anda.

1. **Pada tab **Listeners**, pilih Edit.**

1. Untuk semua pendengar yang Protokol **Load Balancer** tidak disetel ke HTTPS atau SSL, ubah pengaturan ke HTTPS atau SSL.

1. Untuk semua pendengar yang dimodifikasi, pada tab **Sertifikat**, pilih **Ubah** default.

1. Untuk sertifikat **ACM dan IAM, pilih sertifikat**.

1. Pilih **Simpan sebagai default**.

1. **Setelah Anda memperbarui semua pendengar, pilih Simpan.**

## [ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid
<a name="elb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah Application Load Balancer dikonfigurasi untuk menjatuhkan header HTTP yang tidak valid. Kontrol gagal jika nilai `routing.http.drop_invalid_header_fields.enabled` disetel ke`false`.

Secara default, Application Load Balancers tidak dikonfigurasi untuk menjatuhkan nilai header HTTP yang tidak valid. Menghapus nilai header ini mencegah serangan desync HTTP.

**catatan**  
Sebaiknya nonaktifkan kontrol ini jika ELB.12 diaktifkan di akun Anda. Untuk informasi selengkapnya, lihat [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](#elb-12).

### Remediasi
<a name="elb-4-remediation"></a>

Untuk mengatasi masalah ini, konfigurasikan penyeimbang beban Anda untuk menghapus bidang header yang tidak valid.

**Untuk mengonfigurasi penyeimbang beban untuk menjatuhkan bidang header yang tidak valid**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Load balancer**.

1. Pilih Application Load Balancer.

1. Dari **Tindakan**, pilih **Edit atribut**.

1. **Di bawah **Jatuhkan Bidang Header Tidak Valid**, pilih Aktifkan.**

1. Pilih **Simpan**.

## [ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan
<a name="elb-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application Load Balancer dan Classic Load Balancer telah mengaktifkan logging. Kontrol gagal jika `access_logs.s3.enabled` ada`false`.

Elastic Load Balancing memberikan log akses yang mengambil informasi mendetail tentang permintaan yang dikirim ke penyeimbang beban Anda. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan untuk memecahkan masalah. 

Untuk mempelajari selengkapnya, lihat [Akses log untuk Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) di *Panduan Pengguna untuk Penyeimbang Beban Klasik*.

### Remediasi
<a name="elb-5-remediation"></a>

Untuk mengaktifkan log akses, lihat [Langkah 3: Mengkonfigurasi log akses](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*.

## [ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
<a name="elb-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application, Gateway, atau Network Load Balancer telah mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan dinonaktifkan.

Aktifkan perlindungan penghapusan untuk melindungi Aplikasi, Gateway, atau Network Load Balancer Anda dari penghapusan.

### Remediasi
<a name="elb-6-remediation"></a>

Untuk mencegah penyeimbang beban terhapus secara tidak sengaja, Anda dapat mengaktifkan perlindungan penghapusan. Secara default, perlindungan penghapusan dinonaktifkan untuk penyeimbang beban Anda.

Jika Anda mengaktifkan perlindungan penghapusan untuk penyeimbang beban, Anda harus menonaktifkan proteksi penghapusan sebelum dapat menghapus penyeimbang beban.

Untuk mengaktifkan perlindungan penghapusan untuk Application Load Balancer, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Penyeimbang Beban Aplikasi. Untuk mengaktifkan perlindungan penghapusan untuk Load Balancer Gateway, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Penyeimbang Beban Gateway. Untuk mengaktifkan perlindungan penghapusan Network Load Balancer, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Network Load Balancer.

## [ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi
<a name="elb-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Memulihkan > Ketahanan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan:** `elb-connection-draining-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Classic Load Balancers mengaktifkan pengurasan koneksi.

Mengaktifkan pengurasan koneksi pada Classic Load Balancer memastikan bahwa penyeimbang beban berhenti mengirim permintaan ke instans yang tidak terdaftar atau tidak sehat. Itu membuat koneksi yang ada tetap terbuka. Ini sangat berguna untuk instance di grup Auto Scaling, untuk memastikan bahwa koneksi tidak terputus secara tiba-tiba.

### Remediasi
<a name="elb-7-remediation"></a>

Untuk mengaktifkan pengurasan koneksi pada Classic Load Balancer, lihat [Mengonfigurasi pengurasan koneksi untuk Classic Load Balancer Anda di *Panduan Pengguna* untuk Penyeimbang Beban Klasik](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).

## [ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config
<a name="elb-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-171.r2 3.13.8, Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah HTTPS/SSL pendengar Classic Load Balancer Anda menggunakan kebijakan yang telah ditentukan sebelumnya. `ELBSecurityPolicy-TLS-1-2-2017-01` Kontrol gagal jika HTTPS/SSL pendengar Classic Load Balancer tidak menggunakan. `ELBSecurityPolicy-TLS-1-2-2017-01`

Kebijakan keamanan adalah kombinasi dari protokol SSL, cipher, dan opsi Preferensi Pesanan Server. Kebijakan yang telah ditetapkan mengontrol cipher, protokol, dan perintah preferensi untuk mendukung selama negosiasi SSL antara klien dan penyeimbang beban.

Menggunakan `ELBSecurityPolicy-TLS-1-2-2017-01` dapat membantu Anda memenuhi standar kepatuhan dan keamanan yang mengharuskan Anda menonaktifkan versi SSL dan TLS tertentu. Untuk informasi selengkapnya, lihat [Kebijakan keamanan SSL yang telah ditentukan sebelumnya untuk Penyeimbang Beban Klasik di *Panduan Pengguna untuk* Penyeimbang Beban Klasik](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html).

### Remediasi
<a name="elb-8-remediation"></a>

Untuk informasi tentang cara menggunakan kebijakan keamanan yang telah ditentukan sebelumnya `ELBSecurityPolicy-TLS-1-2-2017-01` dengan Classic Load Balancer, [lihat Mengonfigurasi setelan keamanan](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) *di Panduan Pengguna untuk Penyeimbang Beban Klasik*.

## [ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona
<a name="elb-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penyeimbangan beban lintas zona diaktifkan untuk Classic Load Balancers (). CLBs Kontrol gagal jika penyeimbangan beban lintas zona tidak diaktifkan untuk CLB.

Node penyeimbang beban mendistribusikan lalu lintas hanya di seluruh target yang terdaftar di Availability Zone. Ketika load balancing lintas zona dinonaktifkan, setiap node Load Balancer mendistribusikan lalu lintas hanya di target yang telah terdaftar di Availability Zonenya. Jika jumlah target yang terdaftar tidak sama di seluruh Availability Zone, lalu lintas tidak akan didistribusikan secara merata dan contoh di satu zona mungkin berakhir lebih digunakan dibandingkan dengan contoh di zona lain. Dengan penyeimbangan beban lintas zona diaktifkan, setiap node penyeimbang beban untuk Classic Load Balancer Anda mendistribusikan permintaan secara merata di seluruh instance terdaftar di semua Availability Zone yang diaktifkan. Untuk detailnya lihat [Penyeimbangan beban lintas zona di Panduan](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) Pengguna Elastic Load Balancing.

### Remediasi
<a name="elb-9-remediation"></a>

Untuk mengaktifkan penyeimbangan beban lintas zona di Classic Load Balancer, [lihat Mengaktifkan penyeimbangan beban lintas zona dalam *Panduan Pengguna* untuk Penyeimbang Beban](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Klasik.

## [ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
<a name="elb-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah Classic Load Balancer telah dikonfigurasi untuk menjangkau setidaknya jumlah Availability Zones () AZs yang ditentukan. Kontrol gagal jika Classic Load Balancer tidak mencakup setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

 Classic Load Balancer dapat disiapkan untuk mendistribusikan permintaan masuk di seluruh instans Amazon EC2 dalam satu Availability Zone atau beberapa Availability Zone. Classic Load Balancer yang tidak menjangkau beberapa Availability Zone tidak dapat mengarahkan lalu lintas ke target di Availability Zone lain jika Availability Zone yang dikonfigurasi menjadi tidak tersedia. 

### Remediasi
<a name="elb-10-remediation"></a>

 Untuk menambahkan Availability Zone ke Classic Load Balancer, lihat [Menambahkan atau menghapus subnet untuk Classic Load Balancer Anda di *Panduan Pengguna* untuk Penyeimbang Beban Klasik](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html). 

## [ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat
<a name="elb-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Perlindungan data > Integritas data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `desyncMode`: `defensive, strictest` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Application Load Balancer dikonfigurasi dengan modus mitigasi desync defensif atau paling ketat. Kontrol gagal jika Application Load Balancer tidak dikonfigurasi dengan modus mitigasi desync defensif atau paling ketat.

Masalah HTTP Desync dapat menyebabkan penyelundupan permintaan dan membuat aplikasi rentan terhadap antrian permintaan atau keracunan cache. Pada gilirannya, kerentanan ini dapat menyebabkan isian kredensyal atau eksekusi perintah yang tidak sah. Application Load Balancer yang dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat melindungi aplikasi Anda dari masalah keamanan yang mungkin disebabkan oleh HTTP Desync. 

### Remediasi
<a name="elb-12-remediation"></a>

*Untuk memperbarui mode mitigasi desync dari Application Load Balancer, lihat Mode [mitigasi desync di Panduan Pengguna untuk Application Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode).* 

## [ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
<a name="elb-13"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah Elastic Load Balancer V2 (Application, Network, atau Gateway Load Balancer) telah mendaftarkan instans dari setidaknya jumlah Availability Zones () yang ditentukan. AZs Kontrol gagal jika Elastic Load Balancer V2 tidak memiliki instance yang terdaftar setidaknya dalam jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Elastic Load Balancing secara otomatis mendistribusikan lalu lintas aplikasi masuk di beberapa target, seperti instans EC2, wadah, dan IP addresses, dalam satu atau lebih Zona Ketersediaan. Elastic Load Balancing menskalakan load balancer Anda saat lalu lintas masuk Anda berubah seiring waktu. Disarankan untuk mengonfigurasi setidaknya dua zona ketersediaan untuk memastikan ketersediaan layanan, karena Elastic Load Balancer akan dapat mengarahkan lalu lintas ke zona ketersediaan lain jika salah satu tidak tersedia. Memiliki beberapa zona ketersediaan yang dikonfigurasi akan membantu menghilangkan satu titik kegagalan untuk aplikasi. 

### Remediasi
<a name="elb-13-remediation"></a>

Untuk menambahkan Availability Zone ke Application Load Balancer, lihat [Availability Zone untuk Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer di *Panduan Pengguna untuk* Application Load Balancer. Untuk menambahkan Availability Zone ke Network Load Balancer, lihat [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) di *Panduan Pengguna untuk* Network Load Balancer. Untuk menambahkan Availability Zone ke Load Balancer Gateway, lihat [Membuat Load Balancer Gateway di *Panduan Pengguna untuk* Penyeimbang Beban](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) Gateway. 

## [ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat
<a name="elb-14"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Perlindungan data > Integritas data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `desyncMode`: `defensive, strictest` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Classic Load Balancer dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat. Kontrol gagal jika Classic Load Balancer tidak dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat.

Masalah HTTP Desync dapat menyebabkan penyelundupan permintaan dan membuat aplikasi rentan terhadap antrian permintaan atau keracunan cache. Pada gilirannya, kerentanan ini dapat menyebabkan pembajakan kredensyal atau eksekusi perintah yang tidak sah. Classic Load Balancer yang dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat melindungi aplikasi Anda dari masalah keamanan yang mungkin disebabkan oleh HTTP Desync. 

### Remediasi
<a name="elb-14-remediation"></a>

*Untuk memperbarui mode mitigasi desync pada Classic Load Balancer, lihat [Memodifikasi mode mitigasi desync](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) di Panduan Pengguna untuk Penyeimbang Beban Klasik.* 

## [ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF
<a name="elb-16"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application Load Balancer dikaitkan dengan daftar kontrol akses AWS WAF Classic atau AWS WAF web (web ACL). Kontrol gagal jika `Enabled` bidang untuk AWS WAF konfigurasi diatur ke`false`.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Dengan AWS WAF, Anda dapat mengonfigurasi ACL web, yang merupakan seperangkat aturan yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tentukan. Sebaiknya kaitkan Application Load Balancer Anda dengan AWS WAF ACL web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="elb-16-remediation"></a>

*Untuk mengaitkan Application Load Balancer dengan ACL web, lihat [Mengaitkan atau memisahkan ACL web dengan sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html). AWS AWS WAF * 

## [ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan
<a name="elb-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pendengar HTTPS untuk Application Load Balancer atau pendengar TLS untuk Network Load Balancer dikonfigurasi untuk mengenkripsi data dalam perjalanan menggunakan kebijakan keamanan yang disarankan. Kontrol gagal jika pendengar HTTPS atau TLS untuk penyeimbang beban tidak dikonfigurasi untuk menggunakan kebijakan keamanan yang disarankan.

Elastic Load Balancing menggunakan konfigurasi negosiasi SSL, yang dikenal sebagai *kebijakan keamanan*, untuk menegosiasikan koneksi antara klien dan penyeimbang beban. Kebijakan keamanan menentukan kombinasi protokol dan cipher. Protokol menetapkan koneksi yang aman antara klien dan server. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Selama proses negosiasi koneksi, klien dan penyeimbang beban menyajikan daftar sandi dan protokol yang masing-masing mendukung, dalam urutan preferensi. Menggunakan kebijakan keamanan yang direkomendasikan untuk penyeimbang beban dapat membantu Anda memenuhi standar kepatuhan dan keamanan.

### Remediasi
<a name="elb-17-remediation"></a>

[Untuk informasi tentang kebijakan keamanan yang direkomendasikan dan cara memperbarui pendengar, lihat bagian berikut dari Panduan *Pengguna Elastic Load Balancing: Kebijakan keamanan untuk Application Load Balancer*[, Kebijakan keamanan untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html)[Balancer, Memperbarui listener HTTPS untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html)[Balancer, dan Memperbarui pendengar untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html).](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)

## [ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan
<a name="elb-18"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pendengar untuk Application Load Balancer atau Network Load Balancer dikonfigurasi untuk menggunakan protokol aman untuk enkripsi data dalam perjalanan. Kontrol gagal jika pendengar Application Load Balancer tidak dikonfigurasi untuk menggunakan protokol HTTPS, atau pendengar Network Load Balancer tidak dikonfigurasi untuk menggunakan protokol TLS.

Untuk mengenkripsi data yang ditransmisikan antara klien dan penyeimbang beban, pendengar Elastic Load Balancer harus dikonfigurasi untuk menggunakan protokol keamanan standar industri: HTTPS untuk Application Load Balancers, atau TLS untuk Network Load Balancers. Jika tidak, data yang ditransmisikan antara klien dan penyeimbang beban rentan terhadap intersepsi, gangguan, dan akses tidak sah. Penggunaan HTTPS atau TLS oleh pendengar sejalan dengan praktik terbaik keamanan dan membantu memastikan kerahasiaan dan integritas data selama transmisi. Ini sangat penting untuk aplikasi yang menangani informasi sensitif, atau harus mematuhi standar keamanan yang memerlukan enkripsi data dalam perjalanan.

### Remediasi
<a name="elb-18-remediation"></a>

[Untuk informasi tentang mengonfigurasi protokol keamanan untuk pendengar, lihat bagian berikut dari *Panduan Pengguna Elastic Load Balancing: Membuat pendengar HTTPS untuk Application Load*[Balancer dan Membuat pendengar untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html)

## [ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi
<a name="elb-21"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kelompok sasaran untuk pemeriksaan kesehatan penyeimbang beban aplikasi dan jaringan menggunakan protokol transportasi terenkripsi. Kontrol gagal jika protokol pemeriksaan kesehatan tidak menggunakan HTTPS. Kontrol ini tidak berlaku untuk jenis target Lambda.

 Load Balancer mengirimkan permintaan pemeriksaan kesehatan ke target yang terdaftar untuk menentukan status dan rute lalu lintas yang sesuai. Protokol pemeriksaan kesehatan yang ditentukan dalam konfigurasi kelompok sasaran menentukan bagaimana pemeriksaan ini dilakukan. Ketika protokol pemeriksaan kesehatan menggunakan komunikasi yang tidak terenkripsi seperti HTTP, permintaan dan tanggapan dapat dicegat atau dimanipulasi selama transmisi. Hal ini memungkinkan penyerang untuk mendapatkan wawasan tentang konfigurasi infrastruktur, merusak hasil pemeriksaan kesehatan, atau melakukan man-in-the-middle serangan yang memengaruhi keputusan perutean. Menggunakan HTTPS untuk pemeriksaan kesehatan menyediakan komunikasi terenkripsi antara penyeimbang beban dan targetnya, melindungi integritas dan kerahasiaan informasi status kesehatan.

### Remediasi
<a name="elb-21-remediation"></a>

Untuk mengonfigurasi pemeriksaan kesehatan terenkripsi untuk grup target Application Load Balancer Anda, [lihat Memperbarui pengaturan pemeriksaan kesehatan grup target Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) di Panduan Pengguna Elastic Load *Balancing*. Untuk mengonfigurasi pemeriksaan kesehatan terenkripsi untuk grup target Network Load Balancer Anda, [lihat Memperbarui pengaturan pemeriksaan kesehatan grup target Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) di Panduan Pengguna Elastic Load *Balancing*.

## [ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
<a name="elb-22"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup target Elastic Load Balancing menggunakan protokol transport terenkripsi. Kontrol ini tidak berlaku untuk grup target dengan tipe target Lambda atau ALB, atau kelompok target yang menggunakan protokol GENEVE. Kontrol gagal jika grup target tidak menggunakan protokol HTTPS, TLS, atau QUIC.

 Mengenkripsi data dalam perjalanan melindunginya dari intersepsi oleh pengguna yang tidak sah. Kelompok sasaran yang menggunakan protokol tidak terenkripsi (HTTP, TCP, UDP) mengirimkan data tanpa enkripsi, membuatnya rentan terhadap penyadapan. Menggunakan protokol terenkripsi (HTTPS, TLS, QUIC) memastikan bahwa data yang ditransmisikan antara penyeimbang beban dan target dilindungi.

### Remediasi
<a name="elb-22-remediation"></a>

Untuk menggunakan protokol terenkripsi, Anda harus membuat grup target baru dengan protokol HTTPS, TLS, atau QUIC. Protokol grup target tidak dapat dimodifikasi setelah pembuatan. Untuk membuat grup target Application Load Balancer, lihat [Membuat grup target untuk Application Load Balancer Anda di Panduan Pengguna Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) *Balancing*. Untuk membuat grup target Network Load Balancer, lihat [Membuat grup target untuk Network Load Balancer di Panduan Pengguna Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) *Balancing*. 

# Security Hub CSPM untuk Elasticsearch
<a name="es-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Elasticsearch.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
<a name="es-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch memiliki enkripsi saat konfigurasi istirahat diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif Anda OpenSearch, Anda harus mengonfigurasi Anda OpenSearch untuk dienkripsi saat istirahat. Domain Elasticsearch menawarkan enkripsi data saat istirahat. Fitur ini digunakan AWS KMS untuk menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, ia menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang OpenSearch enkripsi saat istirahat, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

Jenis instance tertentu, seperti `t.small` dan`t.medium`, tidak mendukung enkripsi data saat istirahat. Untuk detailnya, lihat [Jenis instans yang didukung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

### Remediasi
<a name="es-1-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk domain Elasticsearch baru dan yang sudah ada, lihat [Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) Layanan *Amazon OpenSearch *.

## [ES.2] Domain Elasticsearch tidak boleh diakses publik
<a name="es-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC 

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch ada di VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Lihat [Kebijakan berbasis sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) Layanan *Amazon OpenSearch *. Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) di Panduan Pengguna Amazon *VPC*.

Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan. Security Hub CSPM merekomendasikan agar Anda memigrasikan domain Elasticsearch publik VPCs untuk memanfaatkan kontrol ini.

### Remediasi
<a name="es-2-remediation"></a>

Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus [membuat domain lain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) atau menonaktifkan kontrol ini.

Lihat [Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) di Panduan Pengembang *Layanan OpenSearch Amazon*.

## [ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
<a name="es-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch telah mengaktifkan node-to-node enkripsi. Kontrol gagal jika domain Elasticsearch tidak mengaktifkan node-to-node enkripsi. Kontrol juga menghasilkan temuan yang gagal jika versi Elasticsearch tidak mendukung pemeriksaan node-to-node enkripsi. 

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini. 

### Remediasi
<a name="es-3-remediation"></a>

Untuk informasi tentang mengaktifkan node-to-node enkripsi pada domain baru dan yang sudah ada, lihat [Mengaktifkan node-to-node enkripsi di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) Pengembang * OpenSearch Layanan Amazon*.

## [ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
<a name="es-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi - Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logtype = 'error'`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch 

Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="es-4-remediation"></a>

Untuk informasi tentang cara mengaktifkan penerbitan log, lihat [Mengaktifkan penerbitan log (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
<a name="es-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-audit-logging-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(tidak dapat disesuaikan). Security Hub CSPM tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

  Aturan ini adalah `NON_COMPLIANT` jika grup CloudWatch log Log dari domain Elasticsearch tidak ditentukan dalam daftar parameter ini.

Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pencatatan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pencatatan audit. 

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di cluster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk.

### Remediasi
<a name="es-5-remediation"></a>

Untuk petunjuk mendetail tentang mengaktifkan log audit, lihat [Mengaktifkan log audit di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) *Pengembang OpenSearch Layanan Amazon*.

## [ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
<a name="es-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-data-node-fault-tolerance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node data dan is. `zoneAwarenessEnabled` `true`

Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menerapkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

### Remediasi
<a name="es-6-remediation"></a>

**Untuk mengubah jumlah node data dalam domain Elasticsearch**

1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.

1. Pilih **Edit domain**.

1. Di bawah **Node data**, atur **Jumlah node** ke angka yang lebih besar dari atau sama dengan`3`.

   Untuk tiga penerapan Availability Zone, atur ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.

1. Pilih **Kirim**.

## [ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
<a name="es-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-primary-node-fault-tolerance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node primer khusus. Kontrol ini gagal jika domain tidak menggunakan node primer khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node primer khusus. Namun, menggunakan lebih dari tiga node primer mungkin tidak diperlukan untuk mengurangi risiko ketersediaan, dan akan menghasilkan biaya tambahan.

Domain Elasticsearch membutuhkan setidaknya tiga node primer khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya node primer khusus dapat tegang selama blue/green penyebaran node data karena ada node tambahan untuk dikelola. Menerapkan domain Elasticsearch dengan setidaknya tiga node primer khusus memastikan kapasitas sumber daya node primer dan operasi cluster yang memadai jika sebuah node gagal.

### Remediasi
<a name="es-7-remediation"></a>

**Untuk memodifikasi jumlah node utama khusus dalam OpenSearch domain**

1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.

1. Pilih **Edit domain**.

1. Di bawah **Node master khusus**, setel **tipe Instance ke tipe** instans yang diinginkan.

1. Mengatur **Jumlah node master** sama dengan tiga atau lebih besar.

1. Pilih **Kirim**.

## [ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
<a name="es-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-https-required` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akhir domain Elasticsearch dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir domain Elasticsearch tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan. Kebijakan keamanan TLS terbaru yang didukung saat ini adalah`Policy-Min-TLS-1-2-PFS-2023-10`.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.

### Remediasi
<a name="es-8-remediation"></a>

Untuk mengaktifkan enkripsi TLS, gunakan operasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API untuk mengkonfigurasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)objek. Ini menetapkan`TLSSecurityPolicy`.

## [ES.9] Domain Elasticsearch harus diberi tag
<a name="es-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `tagged-elasticsearch-domain` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah domain Elasticsearch memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="es-9-remediation"></a>

Untuk menambahkan tag ke domain Elasticsearch, lihat [Bekerja dengan tag di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) *Pengembang OpenSearch Layanan Amazon*.

# Kontrol CSPM Security Hub untuk Amazon EMR
<a name="emr-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik
<a name="emr-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EMR::Cluster`

**AWS Config aturan: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah node master di klaster EMR Amazon memiliki alamat IP publik. Kontrol gagal jika alamat IP publik dikaitkan dengan salah satu instance node master.

Alamat IP publik ditunjuk di `PublicIp` bidang `NetworkInterfaces` konfigurasi untuk instance. Kontrol ini hanya memeriksa kluster EMR Amazon yang berada dalam status atau`RUNNING`. `WAITING`

### Remediasi
<a name="emr-1-remediation"></a>

Selama peluncuran, Anda dapat mengontrol apakah instance Anda di subnet default atau nondefault diberi alamat publik IPv4 . Secara default, subnet default memiliki atribut ini disetel ke`true`. Subnet nondefault memiliki atribut pengalamatan IPv4 publik yang disetel ke`false`, kecuali jika dibuat oleh wizard instance EC2 peluncuran Amazon. Dalam hal ini, atribut diatur ke`true`.

Setelah diluncurkan, Anda tidak dapat secara manual memisahkan IPv4 alamat publik dari instans Anda.

Untuk memulihkan temuan yang gagal, Anda harus meluncurkan cluster baru di VPC dengan subnet pribadi yang memiliki atribut pengalamatan publik yang IPv4 disetel ke. `false` Untuk petunjuknya, lihat [Meluncurkan cluster ke dalam VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) di Panduan Manajemen *EMR Amazon*.

## [EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
<a name="emr-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akun Anda dikonfigurasi dengan Amazon EMR memblokir akses publik. Kontrol gagal jika pengaturan blokir akses publik tidak diaktifkan atau jika port apa pun selain port 22 diizinkan.

Amazon EMR memblokir akses publik mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Saat pengguna dari Anda Akun AWS meluncurkan kluster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atau IPv6 : :/0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, Amazon EMR tidak mengizinkan pengguna membuat cluster.

**catatan**  
Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.

### Remediasi
<a name="emr-2-remediation"></a>

Untuk mengonfigurasi blokir akses publik untuk Amazon EMR, lihat Menggunakan [Amazon EMR memblokir akses publik di Panduan Manajemen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) *EMR* Amazon.

## [EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
<a name="emr-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat istirahat. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="emr-3-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.

## [EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
<a name="emr-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat transit. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi dalam perjalanan.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="emr-4-remediation"></a>

Untuk mengaktifkan enkripsi saat transit dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.

# Kontrol CSPM Security Hub untuk EventBridge
<a name="eventbridge-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi EventBridge layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] bus EventBridge acara harus diberi tag
<a name="eventbridge-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Events::EventBus`

**AWS Config aturan:** `tagged-events-eventbus` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bus EventBridge acara Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika bus acara tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika bus acara tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eventbridge-2-remediation"></a>

Untuk menambahkan tag ke bus EventBridge acara, lihat [ EventBridge Tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) di *Panduan EventBridge Pengguna Amazon*.

## [EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
<a name="eventbridge-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Events::EventBus`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bus acara EventBridge khusus Amazon memiliki kebijakan berbasis sumber daya yang dilampirkan. Kontrol ini gagal jika bus acara khusus tidak memiliki kebijakan berbasis sumber daya.

Secara default, bus acara EventBridge khusus tidak memiliki kebijakan berbasis sumber daya yang dilampirkan. Hal ini memungkinkan kepala sekolah di akun untuk mengakses bus acara. Dengan melampirkan kebijakan berbasis sumber daya ke bus acara, Anda dapat membatasi akses ke bus acara ke akun tertentu, serta dengan sengaja memberikan akses ke entitas di akun lain.

### Remediasi
<a name="eventbridge-3-remediation"></a>

*Untuk melampirkan kebijakan berbasis sumber daya ke bus peristiwa EventBridge khusus, lihat [Menggunakan kebijakan berbasis sumber daya untuk Amazon di Panduan Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html). EventBridge EventBridge *

## [EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
<a name="eventbridge-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Events::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah replikasi peristiwa diaktifkan untuk titik akhir EventBridge global Amazon. Kontrol gagal jika replikasi peristiwa tidak diaktifkan untuk titik akhir global.

Titik akhir global membantu membuat aplikasi Anda toleran terhadap kesalahan regional. Untuk memulai, Anda menetapkan pemeriksaan kesehatan Amazon Route 53 ke titik akhir. Ketika failover dimulai, pemeriksaan kesehatan melaporkan keadaan “tidak sehat”. Dalam beberapa menit setelah inisiasi failover, semua acara khusus diarahkan ke bus acara di Wilayah sekunder dan diproses oleh bus acara tersebut. Saat Anda menggunakan titik akhir global, Anda dapat mengaktifkan replikasi peristiwa. Replikasi acara mengirimkan semua peristiwa khusus ke bus acara di Wilayah primer dan sekunder menggunakan aturan terkelola. Sebaiknya aktifkan replikasi peristiwa saat menyiapkan titik akhir global. Replikasi acara membantu Anda memverifikasi bahwa titik akhir global Anda dikonfigurasi dengan benar. Replikasi peristiwa diperlukan untuk memulihkan secara otomatis dari peristiwa failover. Jika replikasi acara tidak diaktifkan, Anda harus mengatur ulang pemeriksaan kesehatan Route 53 secara manual ke “sehat” sebelum acara dialihkan kembali ke Wilayah utama.

**catatan**  
Jika Anda menggunakan bus acara khusus, Anda memerlukan bus genap khusus di setiap Wilayah dengan nama yang sama dan di akun yang sama agar failover berfungsi dengan baik. Mengaktifkan replikasi acara dapat meningkatkan biaya bulanan Anda. Untuk informasi tentang harga, lihat [ EventBridge harga Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Remediasi
<a name="eventbridge-4-remediation"></a>

Untuk mengaktifkan replikasi peristiwa untuk titik akhir EventBridge global, lihat [Membuat titik akhir global di Panduan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) Pengguna *Amazon EventBridge *. Untuk **replikasi Acara**, pilih **Replikasi acara diaktifkan.**

# Kontrol CSPM Security Hub untuk Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Fraud Detector.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag
<a name="frauddetector-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::EntityType`

**AWS Config aturan:** `frauddetector-entity-type-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah jenis entitas Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika tipe entitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tipe entitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-1-remediation"></a>

**Untuk menambahkan tag ke jenis entitas Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Entitas**.

1. Pilih jenis entitas dari daftar.

1. Di bagian **tag tipe entitas**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.2] Label Amazon Fraud Detector harus diberi tag
<a name="frauddetector-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Label`

**AWS Config aturan:** `frauddetector-label-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah label Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika label tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika label tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-2-remediation"></a>

**Untuk menambahkan tag ke label Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Label**.

1. Pilih label dari daftar.

1. Di bagian **tag label**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
<a name="frauddetector-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Outcome`

**AWS Config aturan:** `frauddetector-outcome-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah hasil Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika hasilnya tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika hasilnya tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-3-remediation"></a>

**Untuk menambahkan tag ke hasil Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Hasil**.

1. Pilih hasil dari daftar.

1. Di bagian **tag hasil**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag
<a name="frauddetector-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Variable`

**AWS Config aturan:** `frauddetector-variable-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah variabel Amazon Fraud Detector memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika variabel tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika variabel tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-4-remediation"></a>

**Untuk menambahkan tag ke variabel Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Variabel**.

1. Pilih variabel dari daftar.

1. Di bagian **tag variabel**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

# Kontrol CSPM Security Hub untuk Amazon FSx
<a name="fsx-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi FSx layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
<a name="fsx-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk OpenZFS dikonfigurasi untuk menyalin tag ke cadangan dan volume. Kontrol gagal jika sistem file OpenZFS tidak dikonfigurasi untuk menyalin tag ke backup dan volume.

Identifikasi dan inventaris aset TI Anda merupakan aspek penting dari tata kelola dan keamanan. Tag membantu Anda mengkategorikan AWS sumber daya Anda dengan cara yang berbeda, misalnya, berdasarkan tujuan, pemilik, atau lingkungan. Ini berguna ketika Anda memiliki banyak sumber daya dari jenis yang sama karena Anda dapat dengan cepat mengidentifikasi sumber daya tertentu berdasarkan tag yang Anda tetapkan padanya.

### Remediasi
<a name="fsx-1-remediation"></a>

Untuk informasi tentang mengonfigurasi sistem file OpenZFS untuk menyalin tag ke cadangan dan volume, lihat [Memperbarui sistem file di *Amazon FSx * untuk Panduan](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) Pengguna OpenZFS. FSx 

## [FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
<a name="fsx-2"></a>

**Persyaratan terkait:** Nist.800-53.r5 CP-9, Nist.800-53.r5 CM-8

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk Lustre dikonfigurasi untuk menyalin tag ke cadangan dan volume. Kontrol gagal jika sistem file Lustre tidak dikonfigurasi untuk menyalin tag ke backup dan volume.

Identifikasi dan inventaris aset TI Anda merupakan aspek penting dari tata kelola dan keamanan. Tag membantu Anda mengkategorikan AWS sumber daya Anda dengan cara yang berbeda, misalnya, berdasarkan tujuan, pemilik, atau lingkungan. Ini berguna ketika Anda memiliki banyak sumber daya dari jenis yang sama karena Anda dapat dengan cepat mengidentifikasi sumber daya tertentu berdasarkan tag yang Anda tetapkan padanya.

### Remediasi
<a name="fsx-2-remediation"></a>

*Untuk informasi tentang mengonfigurasi sistem file Lustre FSx untuk menyalin tag ke cadangan, lihat Menyalin [cadangan dalam hal yang sama Akun AWS di Amazon for Lustre User Guide](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html). FSx *

## [FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-3"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** `deploymentTypes: MULTI_AZ_1` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk OpenZFS dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran Multi-AZ.

*Amazon FSx untuk OpenZFS mendukung beberapa jenis penyebaran untuk sistem file: *Multi-AZ (HA), Single-AZ (HA)**, dan Single-AZ (non-HA)*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sistem file multi-AZ (HA) terdiri dari sepasang server file ketersediaan tinggi (HA) yang tersebar di dua Availability Zones ()AZs. Kami merekomendasikan penggunaan tipe penyebaran Multi-AZ (HA) untuk sebagian besar beban kerja produksi karena ketersediaan tinggi dan model daya tahan yang disediakannya.

### Remediasi
<a name="fsx-3-remediation"></a>

Anda dapat mengonfigurasi sistem file Amazon FSx untuk OpenZFS untuk menggunakan jenis penyebaran Multi-AZ saat Anda membuat sistem file. Anda tidak dapat mengubah jenis penerapan untuk sistem file OpenZFS yang sudah ada FSx .

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file OpenZFS, lihat [Ketersediaan dan daya tahan Amazon FSx untuk OpenZFS dan](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) [Mengelola sumber daya sistem file di](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) *Amazon FSx * untuk Panduan Pengguna OpenZFS.

## [FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-4"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Daftar jenis penyebaran untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika sistem file tidak dikonfigurasi untuk menggunakan jenis penerapan yang ditentukan dalam daftar.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk NetApp ONTAP dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran multi-AZ. Anda dapat secara opsional menentukan daftar jenis penerapan yang akan disertakan dalam evaluasi.

*Amazon FSx untuk NetApp ONTAP mendukung beberapa jenis penyebaran untuk sistem file: *Single-AZ 1, Single-AZ 2, Multi-AZ 1**, dan *Multi-AZ* 2*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sebaiknya gunakan tipe penyebaran Multi-AZ untuk sebagian besar beban kerja produksi karena model ketersediaan dan daya tahan tinggi yang disediakan oleh tipe penerapan Multi-AZ. Sistem file Multi-AZ mendukung semua fitur ketersediaan dan daya tahan sistem file Single-AZ. Selain itu, mereka dirancang untuk menyediakan ketersediaan berkelanjutan ke data bahkan ketika Availability Zone (AZ) tidak tersedia.

### Remediasi
<a name="fsx-4-remediation"></a>

Anda tidak dapat mengubah jenis penerapan untuk sistem file Amazon FSx untuk NetApp ONTAP yang ada. Namun, Anda dapat mencadangkan data, dan kemudian mengembalikannya pada sistem file baru yang menggunakan tipe penyebaran multi-AZ.

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file ONTAP, lihat [Opsi ketersediaan, daya tahan, dan penerapan serta](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Mengelola sistem file](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) di Panduan Pengguna *FSx untuk ONTAP*. 

## [FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-5"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** `deploymentTypes: MULTI_AZ_1` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk Windows File Server dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran Multi-AZ.

*Amazon FSx untuk Windows File Server mendukung dua jenis penyebaran untuk sistem file: *Single-AZ dan Multi-AZ*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sistem file Single-AZ terdiri dari satu instance server file Windows dan satu set volume penyimpanan dalam satu Availability Zone (AZ). Sistem file multi-AZ terdiri dari cluster server file Windows dengan ketersediaan tinggi yang tersebar di dua Availability Zone. Kami merekomendasikan penggunaan tipe penyebaran Multi-AZ untuk sebagian besar beban kerja produksi karena ketersediaan tinggi dan model daya tahan yang disediakannya.

### Remediasi
<a name="fsx-5-remediation"></a>

Anda dapat mengonfigurasi sistem file Amazon FSx untuk Windows File Server untuk menggunakan jenis penyebaran Multi-AZ saat Anda membuat sistem file. Anda tidak dapat mengubah jenis penerapan untuk sistem file Windows File Server yang sudah ada FSx .

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file Windows File Server, lihat [Ketersediaan dan daya tahan: Sistem file Single-AZ dan Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) dan [Memulai Amazon FSx untuk Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) di *Amazon FSx untuk Windows File Server* Panduan Pengguna. 

# Kontrol CSPM Security Hub untuk Global Accelerator
<a name="globalaccelerator-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Global Accelerator layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
<a name="globalaccelerator-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config aturan:** `tagged-globalaccelerator-accelerator` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Global Accelerator akselerator memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika akselerator tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika akselerator tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="globalaccelerator-1-remediation"></a>

*Untuk menambahkan tag ke akselerator global Akselerator Global, lihat [Menandai AWS Global Accelerator di Panduan Pengembang](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html)AWS Global Accelerator .*

# Kontrol CSPM Security Hub untuk AWS Glue
<a name="glue-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Glue layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## AWS Glue Pekerjaan [Glue.1] harus ditandai
<a name="glue-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Glue::Job`

**AWS Config aturan:** `tagged-glue-job` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Glue pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="glue-1-remediation"></a>

Untuk menambahkan tag ke AWS Glue pekerjaan, lihat [AWS tag AWS Glue di](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) *Panduan AWS Glue Pengguna*.

## [Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat
<a name="glue-3"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Glue::MLTransform`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak

Kontrol ini memeriksa apakah transformasi pembelajaran AWS Glue mesin dienkripsi saat istirahat. Kontrol gagal jika transformasi pembelajaran mesin tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="glue-3-remediation"></a>

Untuk mengonfigurasi enkripsi untuk transformasi pembelajaran AWS Glue mesin, lihat [Bekerja dengan transformasi pembelajaran mesin](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) di *AWS Glue Panduan Pengguna*.

## [Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue
<a name="glue-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Glue::Job`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`minimumSupportedGlueVersion`: `3.0` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pekerjaan AWS Glue for Spark dikonfigurasi untuk berjalan pada versi yang didukung. AWS Glue Kontrol gagal jika pekerjaan Spark dikonfigurasi untuk berjalan pada versi yang lebih awal dari versi minimum yang didukung. AWS Glue 

**catatan**  
Kontrol ini juga menghasilkan `FAILED` temuan untuk pekerjaan Spark jika properti AWS Glue version (`GlueVersion`) tidak ada atau null dalam item konfigurasi (CI) untuk pekerjaan tersebut. AWS Glue Dalam kasus seperti itu, temuan tersebut mencakup anotasi berikut:`GlueVersion is null or missing in glueetl job configuration`. Untuk mengatasi jenis `FAILED` temuan ini, tambahkan `GlueVersion` properti ke konfigurasi pekerjaan. Untuk daftar versi dan lingkungan runtime yang didukung, lihat [AWS Glue Versi](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) dalam *Panduan AWS Glue Pengguna*.

Menjalankan pekerjaan AWS Glue Spark pada versi saat ini AWS Glue dapat mengoptimalkan kinerja, keamanan, dan akses ke fitur terbaru. AWS Glue Ini juga dapat membantu melindungi terhadap kerentanan keamanan. Misalnya, versi baru mungkin dirilis untuk menyediakan pembaruan keamanan, mengatasi masalah, atau memperkenalkan fitur baru.

### Remediasi
<a name="glue-4-remediation"></a>

*Untuk informasi tentang memigrasi pekerjaan Spark ke versi yang didukung AWS Glue, lihat [Memigrasi AWS Glue pekerjaan Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) di Panduan Pengguna.AWS Glue *

# Kontrol CSPM Security Hub untuk Amazon GuardDuty
<a name="guardduty-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi GuardDuty layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty harus diaktifkan
<a name="guardduty-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12),, (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 Nist.800-53.R5 SI-20, Nist.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-4, NIST.800-53.r5 SA-8 Nist.800-53.R5 SI-4 NIST.800-53.r5 SC-5, Nist.800-53.r5 SI-4 .800-53.R5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 3.R5 SI-4 (5), Nist.800-171.r2 3.4.2, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon GuardDuty diaktifkan di GuardDuty akun dan Wilayah Anda.

Sangat disarankan agar Anda mengaktifkan GuardDuty di semua AWS Wilayah yang didukung. Melakukannya memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa, bahkan di Wilayah yang tidak Anda gunakan secara aktif. Ini juga memungkinkan GuardDuty untuk memantau CloudTrail peristiwa untuk global Layanan AWS seperti IAM.

### Remediasi
<a name="guardduty-1-remediation"></a>

Untuk mengaktifkan GuardDuty, lihat [Memulai GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) di *Panduan GuardDuty Pengguna Amazon*.

## [GuardDuty.2] GuardDuty filter harus diberi tag
<a name="guardduty-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::Filter`

**AWS Config aturan:** `tagged-guardduty-filter` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah GuardDuty filter Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika filter tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika filter tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-2-remediation"></a>

Untuk menambahkan tag ke GuardDuty filter, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.3] GuardDuty IPSets harus ditandai
<a name="guardduty-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::IPSet`

**AWS Config aturan:** `tagged-guardduty-ipset` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah Amazon GuardDuty IPSet memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika IPSet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika IPSet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-3-remediation"></a>

Untuk menambahkan tag ke a GuardDuty IPSet, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.4] GuardDuty detektor harus ditandai
<a name="guardduty-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan:** `tagged-guardduty-detector` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah GuardDuty detektor Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika detektor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika detektor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-4-remediation"></a>

Untuk menambahkan tag ke GuardDuty detektor, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
<a name="guardduty-5"></a>

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Pemantauan Log Audit GuardDuty EKS diaktifkan. Untuk akun mandiri, kontrol gagal jika Pemantauan Log Audit GuardDuty EKS dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Pemantauan Log Audit EKS.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Pemantauan Log Audit EKS untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Pemantauan Log Audit GuardDuty EKS. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Pemantauan Log Audit EKS membantu Anda mendeteksi aktivitas yang berpotensi mencurigakan di kluster Amazon Elastic Kubernetes Service (Amazon EKS). EKS Audit Log Monitoring menggunakan log audit Kubernetes untuk menangkap aktivitas kronologis dari pengguna, aplikasi yang menggunakan Kubernetes API, dan control plane.

### Remediasi
<a name="guardduty-5-remediation"></a>

Untuk mengaktifkan Pemantauan Log Audit GuardDuty [EKS, lihat Pemantauan Log Audit EKS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) di *Panduan GuardDuty Pengguna Amazon*.

## [GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
<a name="guardduty-6"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan Lambda untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Lambda Protection membantu Anda mengidentifikasi potensi ancaman keamanan saat suatu AWS Lambda fungsi dipanggil. Setelah Anda mengaktifkan Perlindungan Lambda, GuardDuty mulai memantau log aktivitas jaringan Lambda yang terkait dengan fungsi Lambda di Anda. Akun AWS Ketika fungsi Lambda dipanggil dan GuardDuty mengidentifikasi lalu lintas jaringan mencurigakan yang menunjukkan adanya potongan kode yang berpotensi berbahaya dalam fungsi Lambda Anda, menghasilkan temuan. GuardDuty 

### Remediasi
<a name="guardduty-6-remediation"></a>

*Untuk mengaktifkan Perlindungan GuardDuty Lambda, lihat [Mengonfigurasi Perlindungan Lambda di Panduan Pengguna](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) Amazon. GuardDuty *

## [GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
<a name="guardduty-7"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah GuardDuty EKS Runtime Monitoring dengan manajemen agen otomatis diaktifkan. Untuk akun mandiri, kontrol gagal jika GuardDuty EKS Runtime Monitoring dengan manajemen agen otomatis dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak memiliki EKS Runtime Monitoring dengan manajemen agen otomatis diaktifkan.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur EKS Runtime Monitoring dengan manajemen agen otomatis untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan GuardDuty EKS Runtime Monitoring. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

Perlindungan EKS di Amazon GuardDuty menyediakan cakupan deteksi ancaman untuk membantu Anda melindungi kluster Amazon EKS di AWS lingkungan Anda. EKS Runtime Monitoring menggunakan peristiwa tingkat sistem operasi untuk membantu Anda mendeteksi potensi ancaman di node dan kontainer EKS dalam kluster EKS Anda. 

### Remediasi
<a name="guardduty-7-remediation"></a>

Untuk mengaktifkan Pemantauan Runtime EKS dengan manajemen agen otomatis, lihat [Mengaktifkan Pemantauan GuardDuty Runtime](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) di Panduan Pengguna *Amazon GuardDuty *.

## [GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
<a name="guardduty-8"></a>

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty Malware diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty Malware dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan Malware.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan Malware untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty Malware. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Perlindungan Malware untuk EC2 membantu Anda mendeteksi potensi keberadaan malware dengan memindai volume Amazon Elastic Block Store (Amazon EBS) yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan beban kerja container. Perlindungan Malware menyediakan opsi pemindaian di mana Anda dapat memutuskan apakah Anda ingin menyertakan atau mengecualikan instans EC2 tertentu dan beban kerja kontainer pada saat pemindaian. Ini juga menyediakan opsi untuk menyimpan snapshot volume EBS yang dilampirkan ke instans EC2 atau beban kerja kontainer, di akun Anda. GuardDuty Cuplikan disimpan hanya ketika malware ditemukan dan temuan Perlindungan Malware dihasilkan. 

### Remediasi
<a name="guardduty-8-remediation"></a>

*Untuk mengaktifkan Perlindungan GuardDuty Malware untuk EC2, lihat [Mengonfigurasi GuardDuty pemindaian malware yang dimulai di Panduan Pengguna](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) Amazon. GuardDuty *

## [GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan
<a name="guardduty-9"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty RDS diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty RDS dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan RDS.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan RDS untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty RDS. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

Perlindungan RDS dalam GuardDuty analisis dan profil Aktivitas login RDS untuk potensi ancaman akses ke database Amazon Aurora Anda (Edisi yang kompatibel dengan Aurora MySQL dan Edisi yang kompatibel dengan Aurora PostgreSQL). Fitur ini memungkinkan Anda mengidentifikasi perilaku login yang berpotensi mencurigakan. Perlindungan RDS tidak memerlukan infrastruktur tambahan; itu dirancang agar tidak mempengaruhi kinerja instance database Anda. Ketika RDS Protection mendeteksi upaya login yang berpotensi mencurigakan atau anomali yang menunjukkan ancaman terhadap database Anda, GuardDuty menghasilkan temuan baru dengan detail tentang database yang berpotensi dikompromikan. 

### Remediasi
<a name="guardduty-9-remediation"></a>

Untuk mengaktifkan Perlindungan GuardDuty RDS, lihat [Perlindungan GuardDuty RDS](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) di * GuardDuty Panduan Pengguna Amazon*.

## [GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan
<a name="guardduty-10"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty S3 diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty S3 dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan S3.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan S3 untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty S3. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

S3 Protection memungkinkan GuardDuty untuk memantau operasi API tingkat objek untuk mengidentifikasi potensi risiko keamanan data dalam bucket Amazon Simple Storage Service (Amazon S3). GuardDuty memantau ancaman terhadap sumber daya S3 Anda dengan menganalisis peristiwa AWS CloudTrail manajemen dan peristiwa data CloudTrail S3. 

### Remediasi
<a name="guardduty-10-remediation"></a>

Untuk mengaktifkan Perlindungan GuardDuty S3, lihat Perlindungan [Amazon S3 di GuardDuty Amazon di](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) Panduan Pengguna * GuardDuty Amazon*.

## [GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
<a name="guardduty-11"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Runtime Monitoring diaktifkan di Amazon GuardDuty. Untuk akun mandiri, kontrol gagal jika GuardDuty Runtime Monitoring dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika GuardDuty Runtime Monitoring dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan GuardDuty Runtime Monitoring untuk akun di organisasi mereka. Selain itu, hanya GuardDuty administrator yang dapat mengonfigurasi dan mengelola agen keamanan yang GuardDuty digunakan untuk pemantauan runtime AWS beban kerja dan sumber daya untuk akun di organisasi. GuardDuty akun anggota tidak dapat mengaktifkan, mengonfigurasi, atau menonaktifkan Runtime Monitoring untuk akun mereka sendiri.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman, seperti kluster Amazon EKS dan instans Amazon EC2.

### Remediasi
<a name="guardduty-11-remediation"></a>

*Untuk informasi tentang mengonfigurasi dan mengaktifkan GuardDuty Runtime Monitoring, lihat Runtime [Monitoring dan Mengaktifkan GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) [di GuardDuty Panduan](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) Pengguna Amazon. GuardDuty *

## [GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
<a name="guardduty-12"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah agen keamanan GuardDuty otomatis Amazon diaktifkan untuk pemantauan runtime kluster Amazon ECS aktif. AWS Fargate Untuk akun mandiri, kontrol gagal jika agen keamanan dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika agen keamanan dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, kontrol ini menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Ini karena hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan Runtime Monitoring sumber daya ECS-Fargate untuk akun di organisasi mereka. GuardDuty Akun anggota tidak dapat melakukan ini untuk akun mereka sendiri. Selain itu, kontrol ini menghasilkan `FAILED` temuan jika GuardDuty ditangguhkan untuk akun anggota dan Runtime Monitoring sumber daya ECS-Fargate dinonaktifkan untuk akun anggota. Untuk menerima `PASSED` temuan, GuardDuty administrator harus memisahkan akun anggota yang ditangguhkan dari akun administrator mereka dengan menggunakan GuardDuty.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman. Ini termasuk kluster Amazon ECS di. AWS Fargate

### Remediasi
<a name="guardduty-12-remediation"></a>

Untuk mengaktifkan dan mengelola agen keamanan untuk GuardDuty Runtime Monitoring sumber daya ECS-Fargate, Anda harus menggunakannya secara langsung. GuardDuty Anda tidak dapat mengaktifkan atau mengelolanya secara manual untuk sumber daya ECS-Fargate. *Untuk informasi tentang mengaktifkan dan mengelola agen keamanan, lihat [Prasyarat untuk dukungan AWS Fargate (khusus Amazon ECS) dan Mengelola agen keamanan otomatis untuk AWS Fargate (khusus](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) [Amazon ECS) di Panduan Pengguna Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html). GuardDuty *

## [GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
<a name="guardduty-13"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah agen keamanan GuardDuty otomatis Amazon diaktifkan untuk pemantauan runtime instans Amazon EC2. Untuk akun mandiri, kontrol gagal jika agen keamanan dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika agen keamanan dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, kontrol ini menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Ini karena hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan Pemantauan Waktu Proses instans Amazon EC2 untuk akun di organisasi mereka. GuardDuty Akun anggota tidak dapat melakukan ini untuk akun mereka sendiri. Selain itu, kontrol ini menghasilkan `FAILED` temuan jika GuardDuty ditangguhkan untuk akun anggota dan Pemantauan Runtime instans EC2 dinonaktifkan untuk akun anggota. Untuk menerima `PASSED` temuan, GuardDuty administrator harus memisahkan akun anggota yang ditangguhkan dari akun administrator mereka dengan menggunakan GuardDuty.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman. Ini termasuk instans Amazon EC2.

### Remediasi
<a name="guardduty-13-remediation"></a>

*Untuk informasi tentang mengonfigurasi dan mengelola agen keamanan otomatis untuk Pemantauan GuardDuty Waktu Proses instans EC2, lihat [Prasyarat untuk dukungan instans Amazon EC2 dan Mengaktifkan agen keamanan otomatis untuk instans Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [di Panduan Pengguna Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *

# Kontrol CSPM Security Hub untuk AWS Identity and Access Management
<a name="iam-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Identity and Access Management (IAM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh
<a name="iam-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.22, Tolok Ukur AWS Yayasan CIS v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7), NIST.800-53.r5 AC-2,, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludePermissionBoundaryPolicy: true`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah versi default kebijakan IAM (juga dikenal sebagai kebijakan yang dikelola pelanggan) memiliki akses administrator dengan menyertakan pernyataan dengan `"Effect": "Allow"` with `"Action": "*"` over`"Resource": "*"`. Kontrol gagal jika Anda memiliki kebijakan IAM dengan pernyataan seperti itu.

Kontrol hanya memeriksa kebijakan terkelola pelanggan yang Anda buat. Itu tidak memeriksa kebijakan sebaris dan AWS terkelola.

Kebijakan IAM mendefinisikan serangkaian hak istimewa yang diberikan kepada pengguna, grup, atau peran. Mengikuti saran keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas. Bila Anda memberikan hak administratif penuh alih-alih set izin minimum yang dibutuhkan pengguna, Anda mengekspos sumber daya ke tindakan yang mungkin tidak diinginkan.

Alih-alih mengizinkan hak administratif penuh, tentukan apa yang perlu dilakukan pengguna dan kemudian buat kebijakan yang memungkinkan pengguna hanya melakukan tugas-tugas tersebut. Lebih aman untuk memulai dengan set izin minimum dan memberikan izin tambahan seperlunya. Jangan mulai dengan izin yang terlalu lunak dan kemudian coba kencangkan nanti.

Anda harus menghapus kebijakan IAM yang memiliki pernyataan dengan `"Effect": "Allow" ` with `"Action": "*"` over`"Resource": "*"`.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-1-remediation"></a>

Untuk mengubah kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “\$1” penuh, lihat [Mengedit kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) di Panduan Pengguna *IAM*.

## [IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
<a name="iam-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.14, Tolok Ukur Yayasan CIS v3.0.0/1.15, Tolok Ukur AWS Yayasan CIS v1.2.0/1.16,, (1),, (15), (7),, NIST.800-53.r5 AC-2 (3), AWS Nist.800-171.r2 3.1.1, Nist.800-171.r2 3.1.2, Nist.800-171.r2 3.1.7 NIST.800-53.r5 AC-2, Nist.800-171.r2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 Nist.800-171.r2 3.13.3 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kebijakan yang dilampirkan. Kontrol gagal jika pengguna IAM Anda memiliki kebijakan yang dilampirkan. Sebagai gantinya, pengguna IAM harus mewarisi izin dari grup IAM atau mengambil peran.

Secara default, pengguna IAM, grup, dan peran tidak memiliki akses ke AWS sumber daya. Kebijakan IAM memberikan hak istimewa kepada pengguna, grup, atau peran. Kami menyarankan Anda menerapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Menetapkan hak istimewa di grup atau tingkat peran mengurangi kompleksitas manajemen akses seiring bertambahnya jumlah pengguna. Mengurangi kompleksitas manajemen akses pada gilirannya dapat mengurangi kesempatan bagi kepala sekolah untuk secara tidak sengaja menerima atau mempertahankan hak istimewa yang berlebihan. 

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-2-remediation"></a>

Untuk mengatasi masalah ini, [buat grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html), dan lampirkan kebijakan ke grup. Kemudian, [tambahkan pengguna ke grup](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). Kebijakan ini diterapkan untuk setiap pengguna dalam grup. Untuk menghapus kebijakan yang dilampirkan langsung ke pengguna, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna *IAM*.

## [IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
<a name="iam-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.13, Tolok Ukur Yayasan CIS v3.0.0/1.14, Tolok Ukur AWS Yayasan CIS v1.4.0/1.14, Tolok Ukur AWS Yayasan CIS v1.2.0/1.4, (1), (3), (15), PCI DSS v4.0.1/8.3.9, PCI DSS AWS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `maxAccessKeyAge`: `90` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kunci akses aktif diputar dalam 90 hari.

Kami sangat menyarankan agar Anda tidak membuat dan menghapus semua kunci akses di akun Anda. Sebaliknya, praktik terbaik yang disarankan adalah membuat satu atau lebih peran IAM atau menggunakan [federasi](https://aws.amazon.com/identity/federation/) melalui AWS IAM Identity Center. Anda dapat menggunakan metode ini untuk memungkinkan pengguna Anda mengakses Konsol Manajemen AWS dan AWS CLI.

Setiap pendekatan memiliki kasus penggunaannya. Federasi umumnya lebih baik untuk perusahaan yang memiliki direktori pusat yang ada atau berencana untuk membutuhkan lebih dari batas saat ini pada pengguna IAM. Aplikasi yang berjalan di luar AWS lingkungan membutuhkan kunci akses untuk akses terprogram ke AWS sumber daya.

Namun, jika sumber daya yang membutuhkan akses terprogram berjalan di dalam AWS, praktik terbaik adalah menggunakan peran IAM. Peran memungkinkan Anda untuk memberikan akses sumber daya tanpa hardcoding ID kunci akses dan kunci akses rahasia ke dalam konfigurasi.

Untuk mempelajari selengkapnya tentang melindungi kunci akses dan akun Anda, lihat [Praktik terbaik untuk mengelola kunci AWS akses](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) di *Referensi Umum AWS*. Lihat juga [pedoman posting blog untuk melindungi Anda Akun AWS saat menggunakan akses terprogram](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Jika Anda sudah memiliki kunci akses, Security Hub CSPM merekomendasikan agar Anda memutar kunci akses setiap 90 hari. Memutar kunci akses mengurangi kemungkinan kunci akses yang terkait dengan akun yang disusupi atau dihentikan digunakan. Ini juga memastikan bahwa data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, retak, atau dicuri. Selalu perbarui aplikasi Anda setelah Anda memutar tombol akses. 

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia. Mereka digunakan untuk menandatangani permintaan terprogram yang Anda buat. AWS Pengguna memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram AWS dari AWS CLI, Alat untuk Windows PowerShell AWS SDKs, atau panggilan HTTP langsung menggunakan operasi API untuk individu Layanan AWS.

Jika organisasi Anda menggunakan AWS IAM Identity Center (Pusat Identitas IAM), pengguna Anda dapat masuk ke Active Directory, direktori Pusat Identitas IAM bawaan, atau [penyedia identitas lain (iDP) yang terhubung ke Pusat Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) IAM. Mereka kemudian dapat dipetakan ke peran IAM yang memungkinkan mereka menjalankan AWS CLI perintah atau memanggil operasi AWS API tanpa perlu kunci akses. Untuk mempelajari lebih lanjut, lihat [Mengonfigurasi AWS CLI yang akan digunakan AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) dalam *Panduan AWS Command Line Interface Pengguna*.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-3-remediation"></a>

Untuk memutar tombol akses yang lebih tua dari 90 hari, lihat [Memutar kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) di *Panduan Pengguna IAM*. Ikuti petunjuk untuk setiap pengguna dengan **usia kunci Access** lebih dari 90 hari.

## [IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada
<a name="iam-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.3, Tolok Ukur Yayasan CIS v3.0.0/1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/1.4, Tolok Ukur AWS Yayasan CIS v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7),, (10), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Kritis 

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kunci akses pengguna root ada. 

Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. AWS kunci akses menyediakan akses terprogram ke akun tertentu.

Security Hub CSPM merekomendasikan agar Anda menghapus semua kunci akses yang terkait dengan pengguna root. Ini membatasi vektor yang dapat digunakan untuk membahayakan akun Anda. Ini juga mendorong pembuatan dan penggunaan akun berbasis peran yang paling tidak memiliki hak istimewa. 

### Remediasi
<a name="iam-4-remediation"></a>

Untuk menghapus kunci akses pengguna root, lihat [Menghapus kunci akses untuk pengguna root di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) *IAM*. Untuk menghapus kunci akses pengguna root dari Akun AWS dalam AWS GovCloud (US), lihat [Menghapus kunci akses pengguna root AWS GovCloud (US) akun saya](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) di *Panduan AWS GovCloud (US) Pengguna*.

## [IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
<a name="iam-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.9, Tolok Ukur AWS Yayasan CIS v3.0.0/1.10, Tolok Ukur Yayasan CIS v1.4.0/1.10, Tolok Ukur AWS Yayasan CIS v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah otentikasi AWS multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang menggunakan kata sandi konsol.

Otentikasi multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS situs web, mereka diminta untuk nama pengguna dan kata sandi mereka. Selain itu, mereka diminta untuk kode otentikasi dari perangkat MFA AWS mereka.

Kami menyarankan Anda mengaktifkan MFA untuk semua akun yang memiliki kata sandi konsol. MFA dirancang untuk memberikan peningkatan keamanan untuk akses konsol. Prinsipal otentikasi harus memiliki perangkat yang memancarkan kunci sensitif waktu dan harus memiliki pengetahuan tentang kredensi.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-5-remediation"></a>

*Untuk menambahkan MFA bagi pengguna IAM, lihat [Menggunakan otentikasi multi-faktor (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) di Panduan Pengguna IAM. AWS*

## [IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
<a name="iam-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.5, Tolok Ukur AWS Yayasan CIS v3.0.0/1.6, Tolok Ukur Yayasan CIS v1.4.0/1.6, Tolok Ukur AWS Yayasan CIS v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda Akun AWS diaktifkan untuk menggunakan perangkat autentikasi multi-faktor perangkat keras (MFA) untuk masuk dengan kredenal pengguna root. Kontrol gagal jika MFA perangkat keras tidak diaktifkan atau perangkat MFA virtual diizinkan untuk masuk dengan kredensi pengguna root.

MFA virtual mungkin tidak memberikan tingkat keamanan yang sama dengan perangkat MFA perangkat keras. Kami menyarankan Anda menggunakan perangkat MFA virtual hanya saat Anda menunggu persetujuan pembelian perangkat keras atau perangkat keras Anda tiba. Untuk mempelajari selengkapnya, lihat [Menetapkan perangkat MFA virtual (konsol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)) di Panduan Pengguna *IAM*.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan keberadaan kredensi pengguna root (profil login) di file. Akun AWS Kontrol menghasilkan `PASSED` temuan dalam kasus-kasus berikut:  
Kredensi pengguna root hadir di akun dan perangkat keras MFA diaktifkan untuk pengguna root.
Kredensi pengguna root tidak ada di akun.
Kontrol menghasilkan `FAILED` temuan jika kredensi pengguna root ada di akun dan MFA perangkat keras tidak diaktifkan untuk pengguna root.

### Remediasi
<a name="iam-6-remediation"></a>

*Untuk informasi tentang mengaktifkan MFA perangkat keras untuk pengguna root, [lihat Autentikasi multi-faktor untuk Pengguna root akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) di Panduan Pengguna IAM.*

## [IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
<a name="iam-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), Nist.800-171.r2 3.5.2, NIST.800-53.r5 IA-5 Nist.800-171.r2 3.5.7, Nist.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Memerlukan setidaknya satu karakter huruf besar dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireSymbols`  |  Memerlukan setidaknya satu simbol dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireNumbers`  |  Memerlukan setidaknya satu nomor dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Jumlah minimum karakter dalam kata sandi  |  Bilangan Bulat  |  `8` untuk `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Jumlah rotasi kata sandi sebelum kata sandi lama dapat digunakan kembali  |  Bilangan Bulat  |  `12` untuk `24`  |  Tidak ada nilai default  | 
|  `MaxPasswordAge`  |  Jumlah hari sebelum kedaluwarsa kata sandi  |  Bilangan Bulat  |  `1` untuk `90`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi yang kuat. Kontrol gagal jika kebijakan kata sandi tidak menggunakan konfigurasi yang kuat. Kecuali Anda memberikan nilai parameter kustom, Security Hub CSPM menggunakan nilai default yang disebutkan dalam tabel sebelumnya. `MaxPasswordAge`Parameter `PasswordReusePrevention` dan tidak memiliki nilai default, jadi jika Anda mengecualikan parameter ini, Security Hub CSPM mengabaikan jumlah rotasi kata sandi dan usia kata sandi saat mengevaluasi kontrol ini.

Untuk mengakses Konsol Manajemen AWS, pengguna IAM memerlukan kata sandi. Sebagai praktik terbaik, Security Hub CSPM sangat merekomendasikan bahwa alih-alih membuat pengguna IAM, Anda menggunakan federasi. Federasi memungkinkan pengguna untuk menggunakan kredensi perusahaan mereka yang ada untuk masuk ke. Konsol Manajemen AWS Gunakan AWS IAM Identity Center (IAM Identity Center) untuk membuat atau menyatukan pengguna, dan kemudian mengambil peran IAM ke dalam akun.

Untuk mempelajari lebih lanjut tentang penyedia identitas dan federasi, lihat [Penyedia identitas dan federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) di *Panduan Pengguna IAM*. Untuk mempelajari selengkapnya tentang Pusat Identitas IAM, lihat [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Jika Anda perlu menggunakan pengguna IAM, Security Hub CSPM merekomendasikan agar Anda menerapkan pembuatan kata sandi pengguna yang kuat. Anda dapat menetapkan kebijakan kata sandi Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi. Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diberlakukan saat pengguna mengubah kata sandi mereka berikutnya. Beberapa pengaturan diberlakukan segera.

### Remediasi
<a name="iam-7-remediation"></a>

Untuk memperbarui kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*.

## [IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
<a name="iam-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-2 Nist.800-171.r2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `maxCredentialUsageAge`: `90` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 90 hari.

Pengguna IAM dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses. 

Security Hub CSPM merekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang tidak digunakan selama 90 hari atau lebih. Menonaktifkan atau menghapus kredensil yang tidak perlu mengurangi jendela peluang untuk kredensil yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-8-remediation"></a>

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk **usia kunci Access, Usia** **kata sandi**, dan **Aktivitas terakhir**. Jika nilai di salah satu kolom ini lebih besar dari 90 hari, buat kredensil untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan [laporan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 90 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam `.csv` format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat [Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) di Panduan Pengguna *IAM*.

## [IAM.9] MFA harus diaktifkan untuk pengguna root
<a name="iam-9"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, Tolok Ukur Yayasan CIS v3.0.0/1.5, Tolok Ukur Yayasan CIS v1.4.0/1.5, Tolok Ukur AWS Yayasan CIS v1.2.0/1.13, (1), (15), (1), (2), (6), (8) AWS AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk pengguna root IAM untuk masuk Akun AWS ke. Konsol Manajemen AWS Kontrol gagal jika MFA tidak diaktifkan untuk pengguna root akun.

Pengguna root IAM Akun AWS memiliki akses lengkap ke semua layanan dan sumber daya di akun. Jika MFA diaktifkan, pengguna harus memasukkan nama pengguna, kata sandi, dan kode otentikasi dari perangkat AWS MFA mereka untuk masuk ke. Konsol Manajemen AWS MFA menambahkan lapisan perlindungan ekstra di atas nama pengguna dan kata sandi.

Kontrol ini menghasilkan `PASSED` temuan dalam kasus-kasus berikut:
+ Kredensi pengguna root ada di akun dan MFA diaktifkan untuk pengguna root.
+ Kredensi pengguna root tidak ada di akun.

Kontrol menghasilkan `FAILED` temuan jika kredensi pengguna root ada di akun dan MFA tidak diaktifkan untuk pengguna root.

### Remediasi
<a name="iam-9-remediation"></a>

*Untuk informasi tentang mengaktifkan MFA untuk pengguna root, [lihat Autentikasi multi-faktor untuk Pengguna root akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) Panduan Pengguna. Akun AWSAWS Identity and Access Management *

## [IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
<a name="iam-10"></a>

**Persyaratan terkait:** Nist.800-171.r2 3.5.2, Nist.800-171.r2 3.5.7, Nist.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi DSS PCI minimum berikut.
+ `RequireUppercaseCharacters`— Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. (Default = `true`)
+ `RequireLowercaseCharacters`— Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. (Default = `true`)
+ `RequireNumbers`— Memerlukan setidaknya satu nomor dalam kata sandi. (Default = `true`)
+ `MinimumPasswordLength`— Panjang minimum kata sandi. (Default = 7 atau lebih)
+ `PasswordReusePrevention`— Jumlah kata sandi sebelum mengizinkan penggunaan kembali. (Default = 4)
+ `MaxPasswordAge`— Jumlah hari sebelum kedaluwarsa kata sandi. (Default = 90)

**catatan**  
Pada 30 Mei 2025, Security Hub CSPM menghapus kontrol ini dari standar PCI DSS v4.0.1. PCI DSS v4.0.1 sekarang membutuhkan kata sandi untuk memiliki minimal 8 karakter. Kontrol ini terus berlaku untuk standar PCI DSS v3.2.1, yang memiliki persyaratan kata sandi yang berbeda.  
[Untuk mengevaluasi kebijakan kata sandi akun terhadap persyaratan PCI DSS v4.0.1, Anda dapat menggunakan kontrol IAM.7.](#iam-7) Kontrol ini membutuhkan kata sandi untuk memiliki minimal 8 karakter. Ini juga mendukung nilai khusus untuk panjang kata sandi dan parameter lainnya. Kontrol IAM.7 adalah bagian dari standar PCI DSS v4.0.1 di Security Hub CSPM.

### Remediasi
<a name="iam-10-remediation"></a>

Untuk memperbarui kebijakan kata sandi agar menggunakan konfigurasi yang disarankan, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*.

## [IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
<a name="iam-11"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.5, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf besar. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-11-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu huruf besar dari alfabet Latin (**A—Z).

## [IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
<a name="iam-12"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.6, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda. CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf kecil. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-12-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu huruf kecil dari alfabet Latin (**A—Z).

## [IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
<a name="iam-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.7, NIST.800-171.R2 3.5.7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu simbol. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-13-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Password**, pilih **Memerlukan setidaknya satu karakter nonalfanumerik**.

## [IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
<a name="iam-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.8, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu nomor. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-14-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu nomor**.

## [IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih
<a name="iam-15"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.7, Tolok Ukur Yayasan CIS v3.0.0/1.8, Tolok Ukur Yayasan CIS v1.4.0/1.8, Tolok Ukur AWS Yayasan CIS v1.2.0/1.9, Nist.800-171.r2 3.5.7 AWS AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi setidaknya memiliki panjang tertentu.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan panjang kata sandi minimum 14 karakter. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-15-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **panjang minimum Kata Sandi**, masukkan **14** atau nomor yang lebih besar.

## [IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
<a name="iam-16"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.8, Tolok Ukur Yayasan CIS v3.0.0/1.9, Tolok Ukur Yayasan CIS v1.4.0/1.9, Tolok Ukur AWS Yayasan CIS v1.2.0/1.10, NIST.800-171.R2 3.5.8, PCI DSS AWS v4.0.1/8.3.7 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jumlah kata sandi yang harus diingat diatur ke 24. Kontrol gagal jika nilainya tidak 24.

Kebijakan kata sandi IAM dapat mencegah penggunaan kembali kata sandi yang diberikan oleh pengguna yang sama.

CIS merekomendasikan agar kebijakan kata sandi mencegah penggunaan kembali kata sandi. Mencegah penggunaan kembali kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-16-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **Mencegah penggunaan kembali kata sandi**, masukkan**24**.

## [IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
<a name="iam-17"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi IAM dapat mengharuskan kata sandi diputar atau kedaluwarsa setelah beberapa hari tertentu.

CIS merekomendasikan agar kebijakan kata sandi kedaluwarsa kata sandi setelah 90 hari atau kurang. Mengurangi masa pakai kata sandi meningkatkan ketahanan akun terhadap upaya login brute force. Memerlukan perubahan kata sandi reguler juga membantu dalam skenario berikut:
+ Kata sandi dapat dicuri atau dikompromikan tanpa sepengetahuan Anda. Ini dapat terjadi melalui kompromi sistem, kerentanan perangkat lunak, atau ancaman internal.
+ Filter web perusahaan dan pemerintah tertentu atau server proxy dapat mencegat dan merekam lalu lintas bahkan jika itu dienkripsi.
+ Banyak orang menggunakan kata sandi yang sama untuk banyak sistem seperti pekerjaan, email, dan pribadi.
+ Workstation pengguna akhir yang dikompromikan mungkin memiliki keystroke logger.

### Remediasi
<a name="iam-17-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **Aktifkan kedaluwarsa kata sandi**, masukkan **90** atau nomor yang lebih kecil.

## [IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan
<a name="iam-18"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.16, Tolok Ukur Yayasan CIS v3.0.0/1.17, Tolok Ukur Yayasan CIS v1.4.0/1.17, Tolok Ukur AWS Yayasan CIS v1.2.0/1.20, NIST.800-171.R2 3.1.2, PCI DSS AWS v4.0.1/12.10.3 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (tidak dapat disesuaikan)
+ `policyUsageType`: `ANY` (tidak dapat disesuaikan)

AWS menyediakan pusat dukungan yang dapat digunakan untuk pemberitahuan dan respons insiden, serta dukungan teknis dan layanan pelanggan.

Buat peran IAM untuk memungkinkan pengguna yang berwenang mengelola insiden dengan Support AWS . Dengan menerapkan hak istimewa terkecil untuk kontrol akses, peran IAM akan memerlukan kebijakan IAM yang sesuai untuk memungkinkan akses pusat dukungan untuk mengelola insiden dengan. Dukungan

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-18-remediation"></a>

Untuk mengatasi masalah ini, buat peran untuk memungkinkan pengguna yang berwenang mengelola Dukungan insiden.

**Untuk membuat peran yang akan digunakan untuk Dukungan akses**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi IAM, pilih Peran, lalu pilih **Buat** **peran**.

1. Untuk **tipe Peran**, pilih Yang **Lain Akun AWS**.

1. Untuk **ID Akun**, masukkan Akun AWS ID yang Akun AWS ingin Anda berikan akses ke sumber daya Anda.

   Jika pengguna atau grup yang akan mengambil peran ini berada di akun yang sama, maka masukkan nomor akun lokal.
**catatan**  
Administrator akun yang ditentukan dapat memberikan izin untuk mengasumsikan peran ini kepada setiap pengguna dalam akun tersebut. Untuk melakukannya, administrator melampirkan kebijakan kepada pengguna atau grup yang memberikan izin untuk tindakan `sts:AssumeRole`. Dalam kebijakan itu, sumber daya harus menjadi peran ARN.

1. Pilih **Berikutnya: Izin**.

1. Cari kebijakan terkelola`AWSSupportAccess`.

1. Pilih kotak centang untuk kebijakan `AWSSupportAccess` terkelola.

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Untuk menambahkan metadata ke peran, lampirkan tag sebagai pasangan nilai kunci.

   Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Menandai pengguna dan peran IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) Pengguna *IAM*.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **Nama peran**, masukkan nama peran Anda.

   Nama peran harus unik di dalam diri Anda Akun AWS. Mereka tidak peka huruf besar/kecil.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Tinjau peran, lalu pilih **Buat peran**.

## [IAM.19] MFA harus diaktifkan untuk semua pengguna IAM
<a name="iam-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), Nist.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 Nist.800-171.r2 3.5.3, NIST.800-53.r5 IA-2 Nist.800-171.r2 3.5.4, Nist.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, NIST.800-53.r5 IA-2 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM mengaktifkan otentikasi multi-faktor (MFA).

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-19-remediation"></a>

*Untuk menambahkan MFA bagi pengguna IAM, lihat Mengaktifkan [perangkat MFA untuk pengguna di AWS Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) IAM.*

## [IAM.20] Hindari penggunaan pengguna root
<a name="iam-20"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan:** `use-of-root-account-test` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah a Akun AWS memiliki batasan pada penggunaan pengguna root. Kontrol mengevaluasi sumber daya berikut:
+ Topik Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail jalan setapak
+ Filter metrik yang terkait dengan CloudTrail jejak
+  CloudWatch Alarm Amazon berdasarkan filter

Pemeriksaan ini menghasilkan `FAILED` temuan jika satu atau beberapa pernyataan berikut benar:
+ Tidak ada CloudTrail jejak di akun.
+  CloudTrail Jejak diaktifkan, tetapi tidak dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.
+  CloudTrail Jejak diaktifkan, tetapi tidak terkait dengan grup CloudWatch log Log.
+ Filter metrik yang tepat yang ditentukan oleh Center for Internet Security (CIS) tidak digunakan. Filter metrik yang ditentukan adalah`'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Tidak ada CloudWatch alarm berdasarkan filter metrik di akun.
+ CloudWatch alarm yang dikonfigurasi untuk mengirim notifikasi ke topik SNS terkait tidak dipicu berdasarkan kondisi alarm.
+ Topik SNS tidak sesuai dengan [kendala untuk mengirim pesan ke](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) topik SNS.
+ Topik SNS tidak memiliki setidaknya satu pelanggan.

Pemeriksaan ini menghasilkan status kontrol `NO_DATA` jika satu atau beberapa pernyataan berikut benar:
+ Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
+ Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

Pemeriksaan ini menghasilkan status kontrol `WARNING` jika satu atau beberapa pernyataan berikut benar:
+ Akun saat ini tidak memiliki topik SNS yang direferensikan dalam alarm. CloudWatch 
+ Akun saat ini tidak memiliki akses ke topik SNS saat menjalankan `ListSubscriptionsByTopic` SNS API.

**catatan**  
Sebaiknya gunakan jejak organisasi untuk mencatat peristiwa dari banyak akun di suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO\$1DATA untuk kontrol yang dievaluasi di akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk [melakukan tugas manajemen akun dan layanan](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Terapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Untuk petunjuk cara menyiapkan administrator untuk penggunaan sehari-hari, lihat [Membuat pengguna dan grup admin IAM pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) di Panduan *Pengguna IAM*.

### Remediasi
<a name="iam-20-remediation"></a>

Langkah-langkah untuk mengatasi masalah ini termasuk menyiapkan topik Amazon SNS, jejak, CloudTrail filter metrik, dan alarm untuk filter metrik.

**Untuk membuat topik Amazon SNS**

1. [Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Buat topik Amazon SNS yang menerima semua alarm CIS.

   Buat setidaknya satu pelanggan untuk topik tersebut. Untuk informasi lebih lanjut, lihat [Memulai dengan Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) di *Panduan Developer Amazon Simple Notification Service*.

Selanjutnya, siapkan aktif CloudTrail yang berlaku untuk semua Wilayah. Untuk melakukannya, ikuti langkah-langkah remediasi di[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1).

Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut.

Terakhir, buat filter metrik dan alarm.

**Untuk membuat filter metrik dan alarm**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pada panel navigasi, pilih **Grup log**.

1. Pilih kotak centang untuk grup CloudWatch log Log yang terkait dengan CloudTrail jejak yang Anda buat.

1. Dari **Tindakan**, pilih **Buat Filter Metrik**.

1. Di bawah **Tentukan pola**, lakukan hal berikut:

   1. Salin pola berikut dan kemudian tempelkan ke bidang **Filter Pattern**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Pilih **Berikutnya**.

1. Di bawah **Tetapkan Metrik**, lakukan hal berikut:

   1. Di **Nama filter**, masukkan nama untuk filter metrik Anda.

   1. Untuk **Metric Namespace, masukkan**. **LogMetrics**

      Jika Anda menggunakan namespace yang sama untuk semua filter metrik log CIS Anda, maka semua metrik Benchmark CIS dikelompokkan bersama.

   1. Untuk **Nama Metrik**, masukkan nama untuk metrik. Ingat nama metrik. Anda harus memilih metrik saat membuat alarm.

   1. Untuk **Metric value** (Nilai metrik), masukkan **1**.

   1. Pilih **Berikutnya**.

1. Di bawah **Tinjau dan buat**, verifikasi informasi yang Anda berikan untuk filter metrik baru. Kemudian, pilih **Buat filter metrik**.

1. Di panel navigasi, pilih **Grup log**, lalu pilih filter yang Anda buat di bawah Filter **metrik**.

1. Pilih kotak centang untuk filter. Pilih **Buat alarm**.

1. Di bawah **Tentukan metrik dan kondisi**, lakukan hal berikut:

   1. Di bawah **Kondisi**, untuk **Ambang Batas**, pilih **Statis**.

   1. Untuk **Tentukan kondisi alarm**, pilih **Greater/Equal**.

   1. Untuk **Tentukan nilai ambang batas**, masukkan**1**.

   1. Pilih **Berikutnya**.

1. Di bawah **Konfigurasi tindakan**, lakukan hal berikut:

   1. Di bawah **Pemicu status alarm**, pilih **Dalam alarm**.

   1. Di bawah **Pilih topik SNS**, pilih **Pilih topik SNS yang sudah ada**.

   1. Untuk **Kirim pemberitahuan ke**, masukkan nama topik SNS yang Anda buat di prosedur sebelumnya.

   1. Pilih **Berikutnya**.

1. Di bawah **Tambahkan nama dan deskripsi**, masukkan **Nama** dan **Deskripsi** untuk alarm, seperti**CIS-1.1-RootAccountUsage**. Lalu pilih **Selanjutnya**.

1. Di bawah **Pratinjau dan buat**, tinjau konfigurasi alarm. Kemudian pilih **Buat alarm**.

## [IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan
<a name="iam-21"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1),, (15), (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3), NIST.800-53.r5 AC-3 Nist.800-171.r2 3.1.1, Nist.800-171.r2 3.1.2 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 Nist.800-171.r2 3.1.5, NIST.800-53.r5 AC-6 Nist.800-171.r2 3.1.7, Nist.800-171.r2 3.3.8, Nist.800-171.r2 3.3.8, Nist.800-171.r2 St.800-171.r2 3.3.9, Nist.800-171.r2 3.13.3, Nist.800-171.r2 3.13.4

**Kategori:** Deteksi > Manajemen akses aman 

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludePermissionBoundaryPolicy`: `True` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan berbasis identitas IAM yang Anda buat memiliki pernyataan Izinkan yang menggunakan wildcard \$1 untuk memberikan izin untuk semua tindakan pada layanan apa pun. Kontrol gagal jika ada pernyataan kebijakan yang disertakan `"Effect": "Allow"` dengan`"Action": "Service:*"`. 

Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang gagal.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

Kontrol juga gagal jika Anda menggunakannya `"Effect": "Allow"``"NotAction": "service:*"`. Dalam hal ini, `NotAction` elemen menyediakan akses ke semua tindakan dalam Layanan AWS, kecuali untuk tindakan yang ditentukan dalam`NotAction`.

Kontrol ini hanya berlaku untuk kebijakan IAM yang dikelola pelanggan. Ini tidak berlaku untuk kebijakan IAM yang dikelola oleh AWS.

Saat Anda menetapkan izin Layanan AWS, penting untuk mencakup tindakan IAM yang diizinkan dalam kebijakan IAM Anda. Anda harus membatasi tindakan IAM hanya pada tindakan yang diperlukan. Ini membantu Anda memberikan izin hak istimewa paling sedikit. Kebijakan yang terlalu permisif dapat menyebabkan eskalasi hak istimewa jika kebijakan tersebut dilampirkan pada prinsipal IAM yang mungkin tidak memerlukan izin.

Dalam beberapa kasus, Anda mungkin ingin mengizinkan tindakan IAM yang memiliki awalan serupa, seperti `DescribeFlowLogs` dan. `DescribeAvailabilityZones` Dalam kasus resmi ini, Anda dapat menambahkan wildcard akhiran ke awalan umum. Misalnya, `ec2:Describe*`.

Kontrol ini lolos jika Anda menggunakan tindakan IAM awalan dengan wildcard berakhiran. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang dilewatkan.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Saat mengelompokkan tindakan IAM terkait dengan cara ini, Anda juga dapat menghindari melebihi batas ukuran kebijakan IAM.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-21-remediation"></a>

Untuk mengatasi masalah ini, perbarui kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “\$1” penuh. Untuk detail tentang cara mengedit kebijakan IAM, lihat [Mengedit kebijakan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Pengguna *IAM*.

## [IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
<a name="iam-22"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.11, Tolok Ukur Yayasan CIS v3.0.0/1.12, Tolok Ukur AWS Yayasan CIS v1.4.0/1.12, NIST.800-171.R2 3.1.2 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 45 hari atau lebih. Untuk melakukannya, ia memeriksa apakah `maxCredentialUsageAge` parameter AWS Config aturan sama dengan 45 atau lebih.

Pengguna dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses.

CIS merekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang telah tidak digunakan selama 45 hari atau lebih. Menonaktifkan atau menghapus kredensil yang tidak perlu mengurangi jendela peluang untuk kredensil yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

 AWS Config Aturan untuk kontrol ini menggunakan operasi [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)dan, yang hanya diperbarui setiap empat jam. Perubahan pada pengguna IAM dapat memakan waktu hingga empat jam untuk dapat dilihat oleh kontrol ini.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, Anda dapat mengaktifkan perekaman sumber daya global dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-22-remediation"></a>

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk **usia kunci Access, Usia** **kata sandi**, dan **Aktivitas terakhir**. Jika nilai di salah satu kolom ini lebih besar dari 45 hari, buat kredensil untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan [laporan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 45 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam `.csv` format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat [Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) di Panduan Pengguna *IAM*.

## [IAM.23] Penganalisis Akses IAM harus ditandai
<a name="iam-23"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config aturan:** `tagged-accessanalyzer-analyzer` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah penganalisis yang dikelola oleh AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika penganalisis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika penganalisis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-23-remediation"></a>

Untuk menambahkan tag ke analyzer, lihat [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)di Referensi API *AWS IAM Access Analyzer*.

## [IAM.24] Peran IAM harus ditandai
<a name="iam-24"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::Role`

**AWS Config aturan:** `tagged-iam-role` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah peran AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-24-remediation"></a>

Untuk menambahkan tag ke peran IAM, lihat [Menandai sumber daya IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) Pengguna *IAM*.

## [IAM.25] Pengguna IAM harus diberi tag
<a name="iam-25"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan:** `tagged-iam-user` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah pengguna AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pengguna tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pengguna tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-25-remediation"></a>

Untuk menambahkan tag ke pengguna IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.

## [IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
<a name="iam-26"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.18, Tolok Ukur Yayasan CIS v3.0.0/1.19 AWS 

**Kategori:** Identifikasi > Kepatuhan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::ServerCertificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sertifikat SSL/TLS server aktif yang dikelola di IAM telah kedaluwarsa. Kontrol gagal jika sertifikat SSL/TLS server yang kedaluwarsa tidak dihapus.

Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda AWS, Anda memerlukan sertifikat SSL/TLS server. Anda dapat menggunakan IAM atau AWS Certificate Manager (ACM) untuk menyimpan dan menyebarkan sertifikat server. Gunakan IAM sebagai manajer sertifikat hanya jika Anda harus mendukung koneksi HTTPS di Wilayah AWS yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsinya dalam penyimpanan sertifikat IAM SSL. IAM mendukung penerapan sertifikat server di semua Wilayah, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan. AWS Anda tidak dapat mengunggah sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari konsol IAM. Menghapus SSL/TLS sertifikat kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid disebarkan secara tidak sengaja ke sumber daya, yang dapat merusak kredibilitas aplikasi atau situs web yang mendasarinya.

### Remediasi
<a name="iam-26-remediation"></a>

Untuk menghapus sertifikat server dari IAM, lihat [Mengelola sertifikat server di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) di Panduan Pengguna *IAM*.

## [IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.21, Tolok Ukur Yayasan CIS v3.0.0/1.22 AWS 

**Kategori:** Lindungi > Manajemen akses aman > Kebijakan IAM yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ “PolicyArns”: “arn:aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Kontrol ini memeriksa apakah identitas IAM (pengguna, peran, atau grup) memiliki kebijakan AWS terkelola yang `AWSCloudShellFullAccess` dilampirkan. Kontrol gagal jika identitas IAM memiliki `AWSCloudShellFullAccess` kebijakan yang dilampirkan.

AWS CloudShell menyediakan cara mudah untuk menjalankan perintah CLI terhadap. Layanan AWS Kebijakan AWS terkelola `AWSCloudShellFullAccess` menyediakan akses penuh CloudShell, yang memungkinkan kemampuan mengunggah dan mengunduh file antara sistem lokal pengguna dan CloudShell lingkungan. Dalam CloudShell lingkungan, pengguna memiliki izin sudo, dan dapat mengakses internet. Akibatnya, melampirkan kebijakan terkelola ini ke identitas IAM memberi mereka kemampuan untuk menginstal perangkat lunak transfer file dan memindahkan data dari CloudShell ke server internet eksternal. Sebaiknya ikuti prinsip hak istimewa paling sedikit dan melampirkan izin yang lebih sempit ke identitas IAM Anda.

### Remediasi
<a name="iam-27-remediation"></a>

*Untuk melepaskan `AWSCloudShellFullAccess` kebijakan dari identitas IAM, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*

## [IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
<a name="iam-28"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.19, Tolok Ukur Yayasan CIS v3.0.0/1.20 AWS 

**Kategori:** Deteksi > Layanan deteksi > Pemantauan penggunaan istimewa

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Akun AWS penganalisis akses eksternal IAM Access Analyzer diaktifkan. Kontrol gagal jika akun tidak mengaktifkan penganalisis akses eksternal di pilihan Wilayah AWS Anda saat ini.

Alat analisis akses eksternal IAM Access Analyzer membantu mengidentifikasi sumber daya, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. Ini membantu Anda menghindari akses yang tidak diinginkan ke sumber daya dan data Anda. IAM Access Analyzer bersifat Regional dan harus diaktifkan di setiap Wilayah. Untuk mengidentifikasi sumber daya yang dibagikan dengan prinsipal eksternal, penganalisis akses menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Saat Anda membuat penganalisis akses eksternal, Anda dapat membuat dan mengaktifkannya untuk seluruh organisasi atau akun individual Anda.

**catatan**  
Jika akun merupakan bagian dari organisasi AWS Organizations, kontrol ini tidak memfaktorkan penganalisis akses eksternal yang menentukan organisasi sebagai zona kepercayaan dan diaktifkan untuk organisasi di Wilayah saat ini. Jika organisasi Anda menggunakan jenis konfigurasi ini, pertimbangkan untuk menonaktifkan kontrol ini untuk akun anggota individual di organisasi Anda di Wilayah.

### Remediasi
<a name="iam-28-remediation"></a>

*Untuk informasi tentang mengaktifkan penganalisis akses eksternal di Wilayah tertentu, lihat [Memulai IAM Access Analyzer di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).* Anda harus mengaktifkan penganalisis di setiap Wilayah tempat Anda ingin memantau akses ke sumber daya Anda.

# Kontrol CSPM Security Hub untuk Amazon Inspector
<a name="inspector-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Inspector.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
<a name="inspector-1"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah EC2 pemindaian Amazon Inspector diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon EC2 Inspector dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak EC2 mengaktifkan pemindaian.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur EC2 pemindaian untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon EC2 Inspector. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

 EC2 Pemindaian Amazon Inspector mengekstrak metadata dari instans Amazon Elastic Compute Cloud ( EC2Amazon) Anda, lalu membandingkan metadata ini dengan aturan yang dikumpulkan dari penasihat keamanan untuk menghasilkan temuan. Amazon Inspector memindai instans untuk kerentanan paket dan masalah jangkauan jaringan. Untuk informasi tentang sistem operasi yang didukung, termasuk sistem operasi mana yang dapat dipindai tanpa agen SSM, lihat [Sistem operasi yang didukung: Pemindaian Amazon EC2 ](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Remediasi
<a name="inspector-1-remediation"></a>

*Untuk mengaktifkan pemindaian Amazon Inspector, lihat [Mengaktifkan EC2 pemindaian di Panduan Pengguna](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Amazon Inspector.*

## [Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan
<a name="inspector-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian Amazon Inspector ECR diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon Inspector ECR dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian ECR.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian ECR untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon Inspector ECR. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Amazon Inspector memindai gambar kontainer yang disimpan di Amazon Elastic Container Registry (Amazon ECR) untuk mencari kerentanan perangkat lunak untuk menghasilkan temuan kerentanan paket. Saat mengaktifkan pemindaian Amazon Inspector untuk Amazon ECR, Anda menetapkan Amazon Inspector sebagai layanan pemindaian pilihan untuk registri pribadi Anda. Ini menggantikan pemindaian dasar, yang disediakan tanpa biaya oleh Amazon ECR, dengan pemindaian yang disempurnakan, yang disediakan dan ditagih melalui Amazon Inspector. Pemindaian yang disempurnakan memberi Anda manfaat pemindaian kerentanan untuk sistem operasi dan paket bahasa pemrograman di tingkat registri. Anda dapat meninjau temuan yang ditemukan menggunakan pemindaian yang disempurnakan pada tingkat gambar, untuk setiap lapisan gambar, di konsol Amazon ECR. Selain itu, Anda dapat meninjau dan bekerja dengan temuan ini di layanan lain yang tidak tersedia untuk temuan pemindaian dasar, termasuk AWS Security Hub CSPM dan Amazon EventBridge.

### Remediasi
<a name="inspector-2-remediation"></a>

*Untuk mengaktifkan pemindaian Amazon Inspector ECR, lihat [Mengaktifkan pemindaian di Panduan Pengguna Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc).*

## [Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
<a name="inspector-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian kode Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian kode Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian kode Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian kode Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian kode Amazon Inspector Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian kode Amazon Inspector Lambda memindai kode aplikasi khusus dalam AWS Lambda fungsi untuk kerentanan kode berdasarkan praktik terbaik keamanan. AWS Pemindaian kode Lambda dapat mendeteksi kekurangan injeksi, kebocoran data, kriptografi lemah, atau enkripsi yang hilang dalam kode Anda. Fitur ini [Wilayah AWS hanya tersedia secara spesifik](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](#inspector-4)

### Remediasi
<a name="inspector-3-remediation"></a>

*Untuk mengaktifkan pemindaian kode Amazon Inspector Lambda, lihat [Mengaktifkan pemindaian di](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Panduan Pengguna Amazon Inspector.*

## [Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
<a name="inspector-4"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian standar Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian standar Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian standar Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian standar Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian standar Amazon Inspector Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian standar Amazon Inspector Lambda mengidentifikasi kerentanan perangkat lunak dalam dependensi paket aplikasi yang Anda tambahkan ke kode fungsi dan lapisan Anda. AWS Lambda Jika Amazon Inspector mendeteksi kerentanan dalam dependensi paket aplikasi fungsi Lambda Anda, Amazon Inspector menghasilkan temuan tipe terperinci. `Package Vulnerability` Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](#inspector-3) 

### Remediasi
<a name="inspector-4-remediation"></a>

*Untuk mengaktifkan pemindaian standar Amazon Inspector Lambda, lihat [Mengaktifkan pemindaian di](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Panduan Pengguna Amazon Inspector.*

# Kontrol CSPM Security Hub untuk AWS IoT
<a name="iot-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS IoT layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IoT.1] profil AWS IoT Device Defender keamanan harus ditandai
<a name="iot-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::SecurityProfile`

**AWS Config aturan:** `tagged-iot-securityprofile` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah profil AWS IoT Device Defender keamanan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika profil keamanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil keamanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-1-remediation"></a>

Untuk menambahkan tag ke profil AWS IoT Device Defender keamanan, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

## [IoT.2] tindakan AWS IoT Core mitigasi harus ditandai
<a name="iot-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::MitigationAction`

**AWS Config aturan:** `tagged-iot-mitigationaction` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah tindakan AWS IoT Core mitigasi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tindakan mitigasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tindakan mitigasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-2-remediation"></a>

*Untuk menambahkan tag ke tindakan AWS IoT Core mitigasi, lihat [Menandai AWS IoT sumber daya Anda di Panduan Pengembang](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).AWS IoT *

## [IoT.3] AWS IoT Core dimensi harus ditandai
<a name="iot-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Dimension`

**AWS Config aturan:** `tagged-iot-dimension` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core dimensi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika dimensi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dimensi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-3-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core dimensi, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

## [IoT.4] AWS IoT Core otorisasi harus diberi tag
<a name="iot-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Authorizer`

**AWS Config aturan:** `tagged-iot-authorizer` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core otorisasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika otorisasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika otorisasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-4-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core otorisasi, lihat [Menandai AWS IoT sumber daya Anda di Panduan AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) *Pengembang*.

## [IoT.5] alias AWS IoT Core peran harus ditandai
<a name="iot-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::RoleAlias`

**AWS Config aturan:** `tagged-iot-rolealias` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah alias AWS IoT Core peran memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika alias peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alias peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-5-remediation"></a>

Untuk menambahkan tag ke alias AWS IoT Core peran, lihat [Menandai AWS IoT sumber daya Anda di Panduan AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) *Pengembang*.

## AWS IoT Core Kebijakan [IoT.6] harus ditandai
<a name="iot-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Policy`

**AWS Config aturan:** `tagged-iot-policy` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core kebijakan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika kebijakan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-6-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core kebijakan, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

# Kontrol CSPM Security Hub untuk AWS Acara IoT
<a name="iotevents-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan AWS sumber daya IoT Events.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag
<a name="iotevents-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::Input`

**AWS Config aturan:** `iotevents-input-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah input AWS IoT Events memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika input tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika input tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-1-remediation"></a>

Untuk menambahkan tag ke input Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang.*

## [Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag
<a name="iotevents-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::DetectorModel`

**AWS Config aturan:** `iotevents-detector-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model detektor Peristiwa AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model detektor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model detektor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-2-remediation"></a>

Untuk menambahkan tag ke model detektor Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang*.

## [Io TEvents .3] Model alarm AWS IoT Events harus diberi tag
<a name="iotevents-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::AlarmModel`

**AWS Config aturan:** `iotevents-alarm-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model alarm AWS IoT Events memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model alarm tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model alarm tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-3-remediation"></a>

Untuk menambahkan tag ke model alarm Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang*.

# Kontrol CSPM Security Hub untuk IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi SiteWise layanan dan AWS sumber daya IoT.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise
<a name="iotsitewise-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::AssetModel`

**AWS Config aturan:** `iotsitewise-asset-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model SiteWise aset AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model aset tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model aset tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-1-remediation"></a>

Untuk menambahkan tag ke model SiteWise aset AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Dashboard`

**AWS Config aturan:** `iotsitewise-dashboard-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise dasbor AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika dasbor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dasbor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-2-remediation"></a>

Untuk menambahkan tag ke SiteWise dasbor AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Gateway`

**AWS Config aturan:** `iotsitewise-gateway-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise gateway AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika gateway tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-3-remediation"></a>

Untuk menambahkan tag ke SiteWise gateway AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Portal`

**AWS Config aturan:** `iotsitewise-portal-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise portal AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika portal tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika portal tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-4-remediation"></a>

Untuk menambahkan tag ke SiteWise portal AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Project`

**AWS Config aturan:** `iotsitewise-project-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise proyek AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika proyek tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika proyek tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-5-remediation"></a>

Untuk menambahkan tag ke SiteWise proyek AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi TwinMaker layanan dan AWS sumber daya IoT.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker
<a name="iottwinmaker-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::SyncJob`

**AWS Config aturan:** `iottwinmaker-sync-job-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pekerjaan TwinMaker sinkronisasi AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika pekerjaan sinkronisasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan sinkronisasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-1-remediation"></a>

Untuk menambahkan tag ke pekerjaan TwinMaker sinkronisasi AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

## [Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Workspace`

**AWS Config aturan:** `iottwinmaker-workspace-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker ruang kerja AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika ruang kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ruang kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-2-remediation"></a>

*Untuk menambahkan tag ke TwinMaker ruang kerja AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di Panduan Pengguna.AWS IoT TwinMaker *

## [Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Scene`

**AWS Config aturan:** `iottwinmaker-scene-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker adegan AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika adegan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika adegan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-3-remediation"></a>

Untuk menambahkan tag ke TwinMaker adegan AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

## [Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Entity`

**AWS Config aturan:** `iottwinmaker-entity-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker entitas AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika entitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika entitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-4-remediation"></a>

Untuk menambahkan tag ke TwinMaker entitas AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk AWS IoT Wireless
<a name="iotwireless-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan AWS sumber daya IoT Wireless.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag
<a name="iotwireless-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::MulticastGroup`

**AWS Config aturan:** `iotwireless-multicast-group-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup multicast Nirkabel AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika grup multicast tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup multicast tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-1-remediation"></a>

*Untuk menambahkan tag ke grup multicast Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di Panduan Pengembang.AWS IoT Wireless *

## [Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag
<a name="iotwireless-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::ServiceProfile`

**AWS Config aturan:** `iotwireless-service-profile-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah profil layanan AWS IoT Wireless memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika profil layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-2-remediation"></a>

Untuk menambahkan tag ke profil layanan Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di Panduan *AWS IoT Wireless Pengembang*.

## [Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai
<a name="iotwireless-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::FuotaTask`

**AWS Config aturan:** `iotwireless-fuota-task-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tugas over-the-air pembaruan firmware Nirkabel AWS IoT (FUOTA) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika tugas FUOTA tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tugas FUOTA tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-3-remediation"></a>

*Untuk menambahkan tag ke tugas FUOTA Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di AWS IoT Wireless Panduan Pengembang.*

# Kontrol CSPM Security Hub untuk Amazon IVS
<a name="ivs-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Interactive Video Service (IVS).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Pasangan kunci pemutaran IVS harus ditandai
<a name="ivs-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::PlaybackKeyPair`

**AWS Config aturan:** `ivs-playback-key-pair-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah key pair Amazon IVS playback memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika playback key pair tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika key pair playback tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-1-remediation"></a>

Untuk menambahkan tag ke key pair pemutaran IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

## [IVS.2] Konfigurasi perekaman IVS harus ditandai
<a name="ivs-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::RecordingConfiguration`

**AWS Config aturan:** `ivs-recording configuration-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konfigurasi perekaman Amazon IVS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika konfigurasi perekaman tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi perekaman tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-2-remediation"></a>

Untuk menambahkan tag ke konfigurasi perekaman IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

## [IVS.3] Saluran IVS harus ditandai
<a name="ivs-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::Channel`

**AWS Config aturan:** `ivs-channel-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah saluran Amazon IVS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika saluran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika saluran tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-3-remediation"></a>

Untuk menambahkan tag ke saluran IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

# Kontrol CSPM Security Hub untuk Amazon Keyspaces
<a name="keyspaces-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Keyspaces.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag
<a name="keyspaces-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Cassandra::Keyspace`

**AWS Config aturan:** `cassandra-keyspace-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah ruang kunci Amazon Keyspaces memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika ruang kunci tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ruang kunci tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="keyspaces-1-remediation"></a>

Untuk menambahkan tag ke ruang kunci Amazon Keyspaces, lihat [Menambahkan tag ke ruang kunci di Panduan](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Pengembang Amazon *Keyspaces*.

# Kontrol CSPM Security Hub untuk Kinesis
<a name="kinesis-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Kinesis.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat
<a name="kinesis-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah Kinesis Data Streams dienkripsi saat istirahat dengan enkripsi sisi server. Kontrol ini gagal jika aliran Kinesis tidak dienkripsi saat istirahat dengan enkripsi sisi server.

Enkripsi sisi server adalah fitur di Amazon Kinesis Data Streams yang secara otomatis mengenkripsi data sebelum diam dengan menggunakan file. AWS KMS key Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda dienkripsi saat istirahat dalam layanan Amazon Kinesis Data Streams.

### Remediasi
<a name="kinesis-1-remediation"></a>

Untuk informasi tentang mengaktifkan enkripsi sisi server untuk aliran Kinesis, lihat [Bagaimana cara](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) memulai enkripsi sisi server? di Panduan *Pengembang Amazon Kinesis*.

## [Kinesis.2] Aliran kinesis harus ditandai
<a name="kinesis-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan:** `tagged-kinesis-stream` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika aliran data tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aliran data tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="kinesis-2-remediation"></a>

*Untuk menambahkan tag ke aliran data Kinesis, lihat [Menandai aliran Anda di Amazon Kinesis Data Streams di Panduan Pengembang Amazon Kinesis](https://docs.aws.amazon.com/streams/latest/dev/tagging.html).*

## [Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai
<a name="kinesis-3"></a>

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Jumlah jam minimum data harus disimpan.  | String  | 24 hingga 8760  | 168  | 

Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki periode retensi data yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi data kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan data, Security Hub CSPM menggunakan nilai default 168 jam.

Dalam Kinesis Data Streams, aliran data adalah urutan urutan catatan data yang dimaksudkan untuk ditulis dan dibaca secara real time. Catatan data disimpan dalam pecahan di aliran Anda sementara. Periode waktu dari saat catatan ditambahkan ke saat tidak lagi dapat diakses disebut periode retensi. Kinesis Data Streams segera membuat catatan yang lebih tua dari periode retensi baru tidak dapat diakses setelah mengurangi periode retensi. Misalnya, mengubah periode retensi dari 24 jam menjadi 48 jam berarti rekaman yang ditambahkan ke aliran 23 jam 55 menit sebelumnya masih tersedia setelah 24 jam. 

### Remediasi
<a name="kinesis-3-remediation"></a>

Untuk mengubah periode retensi cadangan untuk Kinesis Data Streams[, lihat Mengubah periode retensi data di Panduan Pengembang](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *Amazon Kinesis Data Streams*.

# Kontrol CSPM Security Hub untuk AWS KMS
<a name="kms-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Key Management Service (AWS KMS) layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS
<a name="kms-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(tidak dapat disesuaikan)
+ `excludePermissionBoundaryPolicy`: `True` (tidak dapat disesuaikan)

Memeriksa apakah versi default dari kebijakan terkelola pelanggan IAM mengizinkan prinsipal untuk menggunakan tindakan AWS KMS dekripsi pada semua sumber daya. Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan `kms:Decrypt` atau `kms:ReEncryptFrom` tindakan pada semua kunci KMS.

Kontrol hanya memeriksa kunci KMS dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan. Selain itu, kontrol mengevaluasi kebijakan terkelola pelanggan yang terlampir dan tidak terikat. Itu tidak memeriksa kebijakan sebaris atau kebijakan AWS terkelola.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan identitas (pengguna, grup, atau peran) yang dapat dilakukan pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya `kms:ReEncryptFrom` izin `kms:Decrypt` atau dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan `kms:Decrypt` izin pada semua kunci KMS. Sebagai gantinya, izinkan `kms:Decrypt` hanya pada kunci di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

### Remediasi
<a name="kms-1-remediation"></a>

Untuk mengubah kebijakan terkelola pelanggan IAM, lihat [Mengedit kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) di *Panduan Pengguna IAM*. Saat mengedit kebijakan Anda, untuk `Resource` bidang tersebut, berikan Nama Sumber Daya Amazon (ARN) kunci atau kunci tertentu yang ingin Anda izinkan untuk mengaktifkan tindakan dekripsi.

## [KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS
<a name="kms-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan inline yang disematkan dalam identitas IAM Anda (peran, pengguna, atau grup) memungkinkan tindakan AWS KMS dekripsi dan enkripsi ulang pada semua kunci KMS. Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan `kms:Decrypt` atau `kms:ReEncryptFrom` tindakan pada semua kunci KMS.

Kontrol hanya memeriksa kunci KMS dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan identitas (pengguna, grup, atau peran) yang dapat dilakukan pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya izin yang mereka butuhkan dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan `kms:Decrypt` izin pada semua kunci KMS. Sebagai gantinya, izinkan izin hanya pada kunci tertentu di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

### Remediasi
<a name="kms-2-remediation"></a>

Untuk mengubah kebijakan sebaris IAM, lihat [Mengedit kebijakan sebaris di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) *IAM*. Saat mengedit kebijakan Anda, untuk `Resource` bidang tersebut, berikan Nama Sumber Daya Amazon (ARN) kunci atau kunci tertentu yang ingin Anda izinkan untuk mengaktifkan tindakan dekripsi.

## [KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja
<a name="kms-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan:** `kms-cmk-not-scheduled-for-deletion-2` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol gagal jika kunci KMS dijadwalkan untuk dihapus.

Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi di bawah kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. *Jika data bermakna telah dienkripsi di bawah kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data di bawah kunci KMS baru kecuali Anda sengaja melakukan penghapusan kriptografi.*

Ketika kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib diberlakukan untuk memberikan waktu untuk membalikkan penghapusan, jika dijadwalkan dalam kesalahan. Masa tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi sesingkat 7 hari ketika kunci KMS dijadwalkan untuk dihapus. Selama masa tunggu, penghapusan yang dijadwalkan dapat dibatalkan dan kunci KMS tidak akan dihapus.

*Untuk informasi tambahan mengenai menghapus kunci KMS, lihat [Menghapus kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) di Panduan Pengembang.AWS Key Management Service *

### Remediasi
<a name="kms-3-remediation"></a>

*Untuk membatalkan penghapusan kunci KMS terjadwal, lihat **Untuk membatalkan penghapusan kunci di bawah Penjadwalan dan pembatalan penghapusan** [kunci](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) (konsol) di Panduan Pengembang.AWS Key Management Service *

## [KMS.4] rotasi AWS KMS tombol harus diaktifkan
<a name="kms-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.6, Tolok Ukur Yayasan CIS v3.0.0/3.6, Tolok Ukur AWS Yayasan CIS v1.4.0/3.8, Tolok Ukur AWS Yayasan CIS v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS v3.2.1/3.6.4, PCI DSS AWS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

AWS KMS memungkinkan pelanggan untuk memutar kunci dukungan, yang merupakan bahan kunci yang disimpan AWS KMS dan diikat ke ID kunci kunci KMS. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat berlangsung secara transparan.

CIS merekomendasikan agar Anda mengaktifkan rotasi kunci KMS. Memutar kunci enkripsi membantu mengurangi dampak potensial dari kunci yang dikompromikan karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.

### Remediasi
<a name="kms-4-remediation"></a>

Untuk mengaktifkan rotasi tombol KMS, lihat [Cara mengaktifkan dan menonaktifkan rotasi tombol otomatis](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) di *Panduan AWS Key Management Service Pengembang*.

## [KMS.5] Kunci KMS tidak boleh diakses publik
<a name="kms-5"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa AWS KMS key apakah an dapat diakses publik. Kontrol gagal jika kunci KMS dapat diakses publik.

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan kunci untuk AWS KMS key mengizinkan akses dari akun eksternal, pihak ketiga mungkin dapat mengenkripsi dan mendekripsi data dengan menggunakan kunci. Hal ini dapat mengakibatkan ancaman internal atau eksternal yang mengeksfiltrasi data dari Layanan AWS yang menggunakan kunci.

**catatan**  
Kontrol ini juga mengembalikan `FAILED` temuan AWS KMS key jika konfigurasi Anda AWS Config mencegah merekam kebijakan kunci di Item Konfigurasi (CI) untuk kunci KMS. AWS Config Untuk mengisi kebijakan kunci di CI untuk kunci KMS, [AWS Config peran](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) harus memiliki akses untuk membaca kebijakan kunci menggunakan panggilan [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Untuk mengatasi jenis `FAILED` temuan ini, periksa kebijakan yang dapat mencegah AWS Config peran memiliki akses baca ke kebijakan kunci untuk kunci KMS. Misalnya, periksa yang berikut ini:  
Kebijakan kunci untuk kunci KMS.
[Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dan [kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations yang berlaku untuk akun Anda.
Izin untuk AWS Config peran tersebut, jika Anda tidak menggunakan peran [AWS Config terkait layanan](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Selain itu, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan kunci hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="kms-5-remediation"></a>

Untuk informasi tentang memperbarui kebijakan kunci AWS KMS key, lihat [Kebijakan kunci AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Panduan AWS Key Management Service Pengembang*.

# Kontrol CSPM Security Hub untuk AWS Lambda
<a name="lambda-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Lambda layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
<a name="lambda-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. `AWS:SourceAccount` Sebaiknya gunakan kondisi S3 lainnya beserta `AWS:SourceAccount` kebijakan bucket Anda untuk akses yang lebih disempurnakan.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan untuk fungsi Lambda hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.

### Remediasi
<a name="lambda-1-remediation"></a>

Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. `AWS:SourceAccount` Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda API atau. AWS CLI

Untuk memulai, [tinjau kebijakan berbasis sumber daya di](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai `Principal` bidang yang membuat kebijakan publik, seperti `"*"` atau`{ "AWS": "*" }`.

Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)perintah dari file. AWS CLI

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Ganti `<function-name>` dengan nama fungsi Lambda, dan `<statement-id>` dengan pernyataan ID (`Sid`) dari pernyataan yang ingin Anda hapus.

## [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
<a name="lambda-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah setelan runtime AWS Lambda fungsi cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung, seperti yang tercantum di bagian Parameter. Security Hub CSPM mengabaikan fungsi yang memiliki tipe paket. `Image`

Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi tersebut masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan bahwa fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. *Untuk daftar runtime yang didukung, lihat runtime [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) di AWS Lambda Panduan Pengembang.*

### Remediasi
<a name="lambda-2-remediation"></a>

*Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian [waktu proses di Panduan Pengembang](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html).AWS Lambda * Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan [pembaruan runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.

## [Lambda.3] Fungsi Lambda harus dalam VPC
<a name="lambda-3"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah fungsi Lambda digunakan di cloud pribadi virtual (VPC). Kontrol gagal jika fungsi Lambda tidak diterapkan di VPC. Security Hub CSPM tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.

Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan penerapan VPC untuk memenuhi beragam persyaratan aplikasi.

### Remediasi
<a name="lambda-3-remediation"></a>

*Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di VPC Anda, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan Pengembang.AWS Lambda * Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.

## [Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
<a name="lambda-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZs) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah yang ditentukan AZs. Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Menyebarkan sumber daya di beberapa AZs adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.

### Remediasi
<a name="lambda-5-remediation"></a>

Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke VPC di akun Anda, tentukan subnet dalam beberapa AZs untuk memastikan ketersediaan tinggi. Untuk petunjuk, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan *AWS Lambda Pengembang.*

Lambda secara otomatis menjalankan fungsi lain dalam beberapa AZs untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.

## [Lambda.6] Fungsi Lambda harus ditandai
<a name="lambda-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan:** `tagged-lambda-function` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah suatu AWS Lambda fungsi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika fungsi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika fungsi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="lambda-6-remediation"></a>

*Untuk menambahkan tag ke fungsi Lambda, lihat [Menggunakan tag pada fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) di Panduan Pengembang.AWS Lambda *

## [Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray
<a name="lambda-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penelusuran aktif dengan AWS X-Ray diaktifkan untuk suatu AWS Lambda fungsi. Kontrol gagal jika penelusuran aktif dengan X-Ray dinonaktifkan untuk fungsi Lambda.

AWS X-Ray dapat memberikan kemampuan penelusuran dan pemantauan untuk AWS Lambda fungsi, yang dapat menghemat waktu dan tenaga debugging dan pengoperasian fungsi Lambda. Ini dapat membantu Anda mendiagnosis kesalahan dan mengidentifikasi kemacetan kinerja, perlambatan, dan batas waktu dengan memecah latensi untuk fungsi Lambda. Ini juga dapat membantu dengan privasi data dan persyaratan kepatuhan. Jika Anda mengaktifkan penelusuran aktif untuk fungsi Lambda, X-Ray memberikan tampilan holistik aliran dan pemrosesan data dalam fungsi Lambda, yang dapat membantu Anda mengidentifikasi potensi kerentanan keamanan atau praktik penanganan data yang tidak sesuai. Visibilitas ini dapat membantu Anda menjaga integritas data, kerahasiaan, dan kepatuhan terhadap peraturan yang relevan.

**catatan**  
AWS X-Ray penelusuran saat ini tidak didukung untuk fungsi Lambda dengan Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka yang dikelola sendiri, Amazon MQ dengan ActiveMQ dan RabbitMQ, atau pemetaan sumber acara Amazon DocumentDB.

### Remediasi
<a name="lambda-7-remediation"></a>

*Untuk informasi tentang mengaktifkan penelusuran aktif untuk suatu AWS Lambda fungsi, lihat [Memvisualisasikan pemanggilan AWS X-Ray fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) menggunakan dalam Panduan Pengembang.AWS Lambda *

# Kontrol CSPM Security Hub untuk Macie
<a name="macie-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan Amazon Macie.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie harus diaktifkan
<a name="macie-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)**

**Jenis jadwal:** Periodik

Kontrol ini memeriksa apakah Amazon Macie diaktifkan untuk sebuah akun. Kontrol gagal jika Macie tidak diaktifkan untuk akun.

Amazon Macie menemukan data sensitif menggunakan pembelajaran mesin dan pencocokan pola, memberikan visibilitas ke risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Macie secara otomatis dan terus-menerus mengevaluasi bucket Amazon Simple Storage Service (Amazon S3) Anda untuk keamanan dan kontrol akses, serta menghasilkan temuan untuk memberi tahu Anda tentang potensi masalah terkait keamanan atau privasi data Amazon S3 Anda. Macie juga mengotomatiskan penemuan dan pelaporan data sensitif, seperti informasi identitas pribadi (PII), untuk memberi Anda pemahaman yang lebih baik tentang data yang Anda simpan di Amazon S3. Untuk mempelajari lebih lanjut, lihat [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Remediasi
<a name="macie-1-remediation"></a>

Untuk mengaktifkan Macie, lihat [Mengaktifkan Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) di Panduan Pengguna *Amazon Macie*.

## [Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
<a name="macie-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)**

**Jenis jadwal:** Periodik

Kontrol ini memeriksa apakah penemuan data sensitif otomatis diaktifkan untuk akun administrator Amazon Macie. Kontrol gagal jika penemuan data sensitif otomatis tidak diaktifkan untuk akun administrator Macie. Kontrol ini hanya berlaku untuk akun administrator.

Macie mengotomatiskan penemuan dan pelaporan data sensitif, seperti informasi identitas pribadi (PII), di bucket Amazon Simple Storage Service (Amazon S3). Dengan penemuan data sensitif otomatis, Macie terus mengevaluasi inventaris bucket Anda dan menggunakan teknik pengambilan sampel untuk mengidentifikasi dan memilih objek S3 yang representatif dari bucket Anda. Macie kemudian menganalisis objek yang dipilih, memeriksanya untuk data sensitif. Seiring kemajuan analisis, Macie memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data S3 Anda. Macie juga menghasilkan temuan untuk melaporkan data sensitif yang ditemukannya.

### Remediasi
<a name="macie-2-remediation"></a>

Untuk membuat dan mengonfigurasi tugas penemuan data sensitif otomatis untuk menganalisis objek di bucket S3, lihat [Mengonfigurasi penemuan data sensitif otomatis untuk akun Anda](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) di Panduan Pengguna *Amazon* Macie.

# Kontrol CSPM Security Hub untuk Amazon MSK
<a name="msk-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Managed Streaming for Apache Kafka (Amazon MSK). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker
<a name="msk-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster MSK Amazon dienkripsi dalam perjalanan dengan HTTPS (TLS) di antara node broker cluster. Kontrol gagal jika komunikasi teks biasa diaktifkan untuk koneksi node broker cluster.

HTTPS menawarkan lapisan keamanan ekstra karena menggunakan TLS untuk memindahkan data dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Secara default, Amazon MSK mengenkripsi data dalam perjalanan dengan TLS. Namun, Anda dapat mengganti default ini pada saat Anda membuat cluster. Sebaiknya gunakan koneksi terenkripsi melalui HTTPS (TLS) untuk koneksi node broker.

### Remediasi
<a name="msk-1-remediation"></a>

Untuk informasi tentang memperbarui setelan enkripsi untuk klaster MSK Amazon, lihat [Memperbarui setelan keamanan klaster di Panduan](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) Pengembang *Amazon Managed Streaming for Apache* Kafka.

## [MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi
<a name="msk-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster MSK Amazon telah meningkatkan pemantauan yang dikonfigurasi, yang ditentukan oleh tingkat pemantauan setidaknya`PER_TOPIC_PER_BROKER`. Kontrol gagal jika tingkat pemantauan untuk cluster diatur ke `DEFAULT` atau`PER_BROKER`.

Tingkat `PER_TOPIC_PER_BROKER` pemantauan memberikan wawasan yang lebih terperinci tentang kinerja klaster MSK Anda, dan juga menyediakan metrik yang terkait dengan pemanfaatan sumber daya, seperti penggunaan CPU dan memori. Ini membantu Anda mengidentifikasi kemacetan kinerja dan pola pemanfaatan sumber daya untuk masing-masing topik dan broker. Visibilitas ini, pada gilirannya, dapat mengoptimalkan kinerja broker Kafka Anda.

### Remediasi
<a name="msk-2-remediation"></a>

Untuk mengonfigurasi pemantauan yang disempurnakan untuk klaster MSK, selesaikan langkah-langkah berikut:

1. Buka konsol MSK Amazon di [https://console.aws.amazon.com/msk/rumah? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. Pada panel navigasi, silakan pilih **Klaster**. Kemudian, pilih cluster.

1. Untuk **Tindakan**, pilih **Edit pemantauan**.

1. Pilih opsi untuk pemantauan tingkat **topik yang ditingkatkan**.

1. Pilih **Simpan perubahan**.

Untuk informasi selengkapnya tentang tingkat pemantauan, lihat [metrik MSK Amazon untuk memantau pialang Standar CloudWatch di Panduan Pengembang](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) *Amazon Managed Streaming for Apache* Kafka.

## [MSK.3] Konektor MSK Connect harus dienkripsi saat transit
<a name="msk-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KafkaConnect::Connector`

**AWS Config aturan:** `msk-connect-connector-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konektor Amazon MSK Connect dienkripsi saat transit. Kontrol ini gagal jika konektor tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="msk-3-remediation"></a>

Anda dapat mengaktifkan enkripsi saat transit saat Anda membuat konektor MSK Connect. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat konektor. Untuk informasi selengkapnya, lihat [Membuat konektor](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) di Panduan Pengembang *Amazon Managed Streaming for Apache Kafka Kafka*.

## [MSK.4] Kluster MSK harus menonaktifkan akses publik
<a name="msk-4"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses publik diaktifkan untuk kluster MSK.

Secara default, klien dapat mengakses kluster MSK Amazon hanya jika mereka berada di VPC yang sama dengan cluster. Semua komunikasi antara klien Kafka dan kluster MSK bersifat pribadi secara default dan data streaming tidak melintasi internet. Namun, jika cluster MSK dikonfigurasi untuk memungkinkan akses publik, siapa pun di internet dapat membuat koneksi ke broker Apache Kafka yang berjalan di dalam cluster. Hal ini dapat menyebabkan masalah seperti akses tidak sah, pelanggaran data, atau eksploitasi kerentanan. Jika Anda membatasi akses ke klaster dengan mengharuskan tindakan otentikasi dan otorisasi, Anda dapat membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

### Remediasi
<a name="msk-4-remediation"></a>

Untuk informasi tentang mengelola akses publik ke klaster MSK Amazon, lihat [Mengaktifkan akses publik ke klaster yang disediakan MSK di](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) Panduan Pengembang *Amazon Managed Streaming for Apache Kafka*.

## [MSK.5] Konektor MSK seharusnya mengaktifkan logging
<a name="msk-5"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KafkaConnect::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk konektor MSK Amazon. Kontrol gagal jika logging dinonaktifkan untuk konektor MSK.

Konektor MSK Amazon mengintegrasikan sistem eksternal dan layanan Amazon dengan Apache Kafka dengan terus menyalin data streaming dari sumber data ke cluster Apache Kafka, atau terus menyalin data dari cluster ke dalam data sink. MSK Connect dapat menulis peristiwa log yang dapat membantu men-debug konektor. Saat membuat konektor, Anda dapat menentukan nol atau lebih dari tujuan log berikut: Amazon CloudWatch Log, Amazon S3, dan Amazon Data Firehose.

**catatan**  
Nilai konfigurasi sensitif dapat muncul di log konektor jika plugin tidak mendefinisikan nilai-nilai tersebut sebagai rahasia. Kafka Connect memperlakukan nilai konfigurasi yang tidak ditentukan sama dengan nilai plaintext lainnya.

### Remediasi
<a name="msk-5-remediation"></a>

Untuk mengaktifkan logging untuk konektor MSK Amazon yang ada, Anda harus membuat ulang konektor dengan konfigurasi logging yang sesuai. Untuk informasi tentang opsi konfigurasi, lihat [Logging untuk MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) di Panduan Pengembang *Amazon Managed Streaming for Apache* Kafka Kafka.

## [MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
<a name="msk-6"></a>

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses yang tidak diautentikasi diaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses yang tidak diautentikasi diaktifkan untuk kluster MSK.

Amazon MSK mendukung otentikasi klien dan mekanisme otorisasi untuk mengontrol akses ke cluster. Mekanisme ini memverifikasi identitas klien yang terhubung ke cluster dan menentukan tindakan mana yang dapat dilakukan klien. Kluster MSK dapat dikonfigurasi untuk memungkinkan akses yang tidak diautentikasi, yang memungkinkan klien dengan konektivitas jaringan untuk mempublikasikan dan berlangganan topik Kafka tanpa memberikan kredensyal. Menjalankan klaster MSK tanpa memerlukan otentikasi melanggar prinsip hak istimewa paling sedikit dan dapat mengekspos cluster ke akses yang tidak sah. Ini dapat memungkinkan klien untuk mengakses, memodifikasi, atau menghapus data dalam topik Kafka, berpotensi mengakibatkan pelanggaran data, modifikasi data yang tidak sah, atau gangguan layanan. Sebaiknya aktifkan mekanisme otentikasi seperti autentikasi IAM, SASL/SCRAM, atau TLS timbal balik untuk memastikan kontrol akses yang tepat dan menjaga kepatuhan keamanan.

### Remediasi
<a name="msk-6-remediation"></a>

Untuk informasi tentang mengubah setelan autentikasi untuk kluster MSK Amazon, lihat bagian berikut dari [Panduan Pengembang *Amazon Managed Streaming for Apache Kafka*: Perbarui pengaturan keamanan [klaster MSK Amazon serta Otentikasi dan](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) otorisasi](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) untuk Apache Kafka. APIs

# Kontrol CSPM Security Hub untuk Amazon MQ
<a name="mq-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon MQ. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch
<a name="mq-2"></a>

**Persyaratan terkait:** Nist.800-53.r5 AU-2, Nist.800-53.R5 AU-3, Nist.800-53.R5 AU-12, Nist.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah broker Amazon MQ ActiveMQ mengalirkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika broker tidak mengalirkan log audit ke CloudWatch Log.

Dengan menerbitkan log broker ActiveMQ CloudWatch ke Log, Anda dapat CloudWatch membuat alarm dan metrik yang meningkatkan visibilitas informasi terkait keamanan.

### Remediasi
<a name="mq-2-remediation"></a>

*Untuk melakukan streaming log broker ActiveMQ CloudWatch ke Log, lihat [Mengonfigurasi Amazon MQ untuk log ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
<a name="mq-3"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada Januari 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah broker Amazon MQ mengaktifkan peningkatan versi minor otomatis. Kontrol gagal jika broker tidak mengaktifkan peningkatan versi minor otomatis.

Saat Amazon MQ merilis dan mendukung versi mesin broker baru, perubahan tersebut kompatibel dengan aplikasi yang ada dan tidak menghentikan fungsionalitas yang ada. Pembaruan versi mesin broker otomatis melindungi Anda dari risiko keamanan, membantu memperbaiki bug, dan meningkatkan fungsionalitas.

**catatan**  
Ketika broker yang terkait dengan peningkatan versi minor otomatis berada di tambalan terbaru dan menjadi tidak didukung, Anda harus mengambil tindakan manual untuk meningkatkan.

### Remediasi
<a name="mq-3-remediation"></a>

Untuk mengaktifkan pemutakhiran versi minor otomatis untuk broker MQ, lihat [Memutakhirkan versi mesin minor secara otomatis](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) di Panduan Pengembang *Amazon* MQ.

## [MQ.4] Broker Amazon MQ harus diberi tag
<a name="mq-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan:** `tagged-amazonmq-broker` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah broker Amazon MQ memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika broker tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika broker tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="mq-4-remediation"></a>

Untuk menambahkan tag ke broker Amazon MQ, lihat [Menandai sumber daya](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) di Panduan Pengembang *Amazon* MQ.

## [MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
<a name="mq-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ ActiveMQ diatur ke aktif/siaga. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.

Penerapan aktif/siaga menyediakan ketersediaan tinggi untuk broker Amazon MQ ActiveMQ Anda di file. Wilayah AWS Mode penerapan aktif/siaga mencakup dua instance broker di dua Availability Zone yang berbeda, dikonfigurasi dalam pasangan redundan. Pialang ini berkomunikasi secara serempak dengan aplikasi Anda, yang dapat mengurangi waktu henti dan kehilangan data jika terjadi kegagalan.

### Remediasi
<a name="mq-5-remediation"></a>

*Untuk membuat broker ActiveMQ baru active/standby dengan mode penerapan, [lihat Membuat dan mengonfigurasi broker ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* Untuk **mode Deployment**, pilih **Active/Standby** broker. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.

## [MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
<a name="mq-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ RabbitMQ disetel ke penerapan cluster. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.

Penerapan cluster memberikan ketersediaan tinggi untuk broker Amazon MQ RabbitMQ Anda di file. Wilayah AWS Penyebaran cluster adalah pengelompokan logis dari tiga node broker RabbitMQ, masing-masing dengan volume Amazon Elastic Block Store (Amazon EBS) sendiri dan status bersama. Penyebaran cluster memastikan bahwa data direplikasi ke semua node di cluster, yang dapat mengurangi waktu henti dan hilangnya data jika terjadi kegagalan.

### Remediasi
<a name="mq-6-remediation"></a>

*Untuk membuat broker RabbitMQ baru dengan mode penerapan cluster, lihat [Membuat dan menghubungkan ke broker RabbitMQ di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) MQ.* Untuk **mode Deployment**, pilih **Penerapan cluster**. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.

# Kontrol CSPM Security Hub untuk Neptunus
<a name="neptune-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Neptunus.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
<a name="neptune-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster DB Neptunus Anda melindungi data dan metadata Anda dari akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.

### Remediasi
<a name="neptune-1-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster DB Neptunus. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. *Untuk informasi selengkapnya, lihat [Mengenkripsi sumber daya Neptunus saat istirahat di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html).*

## [Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
<a name="neptune-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB Neptunus menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika kluster DB Neptunus tidak mempublikasikan log audit ke Log. CloudWatch `EnableCloudWatchLogsExport`harus diatur ke`Audit`.

Amazon Neptunus dan CloudWatch Amazon terintegrasi sehingga Anda dapat mengumpulkan dan menganalisis metrik kinerja. Neptunus secara otomatis mengirimkan metrik CloudWatch ke dan juga mendukung Alarm. CloudWatch Log audit sangat dapat disesuaikan. Saat Anda mengaudit database, setiap operasi pada data dapat dipantau dan dicatat ke jejak audit, termasuk informasi tentang cluster database mana yang diakses dan bagaimana caranya. Kami merekomendasikan pengiriman log ini CloudWatch untuk membantu Anda memantau cluster DB Neptunus Anda.

### Remediasi
<a name="neptune-2-remediation"></a>

*Untuk memublikasikan log audit Neptunus CloudWatch ke Log, lihat [Menerbitkan log Neptunus ke Log CloudWatch Amazon di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html).* Di bagian **Log ekspor**, pilih **Audit**.

## [Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
<a name="neptune-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster DB manual Neptunus bersifat publik. Kontrol gagal jika snapshot cluster DB manual Neptunus bersifat publik.

Snapshot manual cluster Neptunus DB tidak boleh dipublikasikan kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.

### Remediasi
<a name="neptune-3-remediation"></a>

*Untuk menghapus akses publik untuk snapshot kluster DB manual Neptunus, [lihat Berbagi snapshot cluster DB](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) di Panduan Pengguna Neptunus.*

## [Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
<a name="neptune-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus mengaktifkan perlindungan penghapusan. Kontrol gagal jika cluster DB Neptunus tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster DB Neptunus tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil.

### Remediasi
<a name="neptune-4-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster DB Neptunus yang ada, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) Panduan Pengguna Amazon Aurora.*

## [Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
<a name="neptune-5"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-12

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah cluster DB Neptunus telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika cadangan tidak diaktifkan untuk cluster DB Neptunus, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan cadangan untuk cluster DB Neptunus Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. 

### Remediasi
<a name="neptune-5-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis dan menetapkan periode retensi cadangan untuk kluster DB Neptunus Anda, lihat Mengaktifkan [pencadangan otomatis](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) di Panduan Pengguna Amazon RDS.* Untuk **periode retensi Backup**, pilih nilai yang lebih besar dari atau sama dengan 7.

## [Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
<a name="neptune-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster Neptunus DB dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data dalam snapshot cluster DB Neptunus harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="neptune-6-remediation"></a>

Anda tidak dapat mengenkripsi snapshot cluster Neptunus DB yang ada. Sebagai gantinya, Anda harus mengembalikan snapshot ke cluster DB baru dan mengaktifkan enkripsi pada cluster. Anda dapat membuat snapshot terenkripsi dari cluster terenkripsi. *Untuk petunjuknya, lihat [Memulihkan dari snapshot cluster DB dan Membuat snapshot](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) [cluster DB di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).*

## [Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
<a name="neptune-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus memiliki otentikasi database IAM diaktifkan. Kontrol gagal jika otentikasi database IAM tidak diaktifkan untuk cluster DB Neptunus.

Autentikasi database IAM untuk kluster database Amazon Neptunus menghilangkan kebutuhan untuk menyimpan kredensil pengguna dalam konfigurasi database karena otentikasi dikelola secara eksternal menggunakan IAM. Ketika autentikasi database IAM diaktifkan, setiap permintaan harus ditandatangani menggunakan AWS Signature Version 4. 

### Remediasi
<a name="neptune-7-remediation"></a>

Secara default, otentikasi database IAM dinonaktifkan saat Anda membuat cluster DB Neptunus. *Untuk mengaktifkannya, lihat [Mengaktifkan otentikasi database IAM di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html).*

## [Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
<a name="neptune-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat. Kontrol gagal jika cluster DB Neptunus tidak dikonfigurasi untuk menyalin tag ke snapshot.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus menandai snapshot dengan cara yang sama seperti cluster database Amazon RDS induknya. Menyalin tag memastikan bahwa metadata untuk snapshot DB cocok dengan cluster database induk, dan kebijakan akses untuk snapshot DB juga cocok dengan instans DB induk. 

### Remediasi
<a name="neptune-8-remediation"></a>

*Untuk menyalin tag ke snapshot untuk cluster DB Neptunus, lihat [Menyalin tag di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*

## [Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
<a name="neptune-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB Amazon Neptunus memiliki instance baca-replika di beberapa Availability Zones (). AZs Kontrol gagal jika cluster digunakan hanya dalam satu AZ.

Jika AZ tidak tersedia dan selama peristiwa pemeliharaan rutin, replika baca berfungsi sebagai target failover untuk instance utama. Artinya, jika instans primer gagal, Neptune mempromosikan instans replika baca menjadi instans primer. Sebaliknya, jika klaster DB Anda tidak menyertakan instans replika baca, klaster DB Anda tetap tidak tersedia ketika instans primer gagal sampai telah dibuat ulang. Membuat ulang instans primer membutuhkan waktu lebih lama daripada mempromosikan replika baca. Untuk memastikan ketersediaan tinggi, sebaiknya Anda membuat satu atau lebih instance read-replica yang memiliki kelas instans DB yang sama dengan instance utama dan terletak berbeda AZs dari instance primer.

### Remediasi
<a name="neptune-9-remediation"></a>

*Untuk menerapkan cluster DB Neptunus dalam AZs beberapa, [lihat Instance DB Read-replika di cluster DB Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Kontrol CSPM Security Hub untuk AWS Network Firewall
<a name="networkfirewall-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Network Firewall layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
<a name="networkfirewall-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah firewall yang dikelola AWS Network Firewall dikerahkan di beberapa Availability Zones ()AZs. Kontrol gagal jika firewall digunakan hanya dalam satu AZ.

AWS Infrastruktur global mencakup banyak Wilayah AWS. AZs Secara fisik terpisah, lokasi terisolasi dalam setiap Wilayah yang dihubungkan oleh latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan menerapkan firewall Network Firewall di beberapa AZs, Anda dapat menyeimbangkan dan mengalihkan lalu lintas di antaranya AZs, yang membantu Anda merancang solusi yang sangat tersedia.

### Remediasi
<a name="networkfirewall-1-remediation"></a>

**Menerapkan firewall Network Firewall di beberapa AZs**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, di bawah **Network Firewall, pilih **Firewall****.

1. Pada halaman **Firewall**, pilih firewall yang ingin Anda edit.

1. Pada halaman detail firewall, pilih tab **Detail Firewall**.

1. **Di bagian **Kebijakan terkait dan VPC**, pilih Edit**

1. Untuk menambahkan AZ baru, pilih **Add New Subnet**. Pilih AZ dan subnet yang ingin Anda gunakan. Pastikan Anda memilih setidaknya dua AZs.

1. Pilih **Simpan**.

## [NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
<a name="networkfirewall-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), Nist.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk AWS Network Firewall firewall. Kontrol gagal jika logging tidak diaktifkan untuk setidaknya satu jenis log atau jika tujuan logging tidak ada.

Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja firewall Anda. Di Network Firewall, logging memberi Anda informasi rinci tentang lalu lintas jaringan, termasuk waktu mesin stateful menerima aliran paket, informasi rinci tentang aliran paket, dan tindakan aturan stateful yang diambil terhadap aliran paket.

### Remediasi
<a name="networkfirewall-2-remediation"></a>

Untuk mengaktifkan logging untuk firewall, lihat [Memperbarui konfigurasi logging firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait
<a name="networkfirewall-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.13.1

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan Network Firewall memiliki grup aturan stateful atau stateless yang terkait. Kontrol gagal jika kelompok aturan stateless atau stateful tidak ditugaskan.

Kebijakan firewall menentukan cara firewall Anda memantau dan menangani lalu lintas di Amazon Virtual Private Cloud (Amazon VPC). Konfigurasi kelompok aturan stateless dan stateful membantu memfilter paket dan arus lalu lintas, dan mendefinisikan penanganan lalu lintas default.

### Remediasi
<a name="networkfirewall-3-remediation"></a>

Untuk menambahkan grup aturan ke kebijakan Network Firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk informasi tentang membuat dan mengelola grup aturan, lihat [Grup aturan di AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh
<a name="networkfirewall-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah tindakan stateless default untuk paket penuh untuk kebijakan Network Firewall adalah drop atau forward. Kontrol lolos jika `Drop` atau `Forward` dipilih, dan gagal jika `Pass` dipilih.

Kebijakan firewall menentukan bagaimana firewall Anda memantau dan menangani lalu lintas di Amazon VPC. Anda mengonfigurasi grup aturan stateless dan stateful untuk memfilter paket dan arus lalu lintas. Default untuk `Pass` dapat memungkinkan lalu lintas yang tidak diinginkan.

### Remediasi
<a name="networkfirewall-4-remediation"></a>

Untuk mengubah kebijakan firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **tindakan default Stateless**, pilih **Edit**. **Kemudian, pilih **Jatuhkan** atau **Teruskan ke grup aturan stateful** sebagai Tindakan.**

## [NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi
<a name="networkfirewall-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.1.14, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.13.6

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah tindakan stateless default untuk paket terfragmentasi untuk kebijakan Network Firewall adalah drop atau forward. Kontrol lolos jika `Drop` atau `Forward` dipilih, dan gagal jika `Pass` dipilih.

Kebijakan firewall menentukan bagaimana firewall Anda memantau dan menangani lalu lintas di Amazon VPC. Anda mengonfigurasi grup aturan stateless dan stateful untuk memfilter paket dan arus lalu lintas. Default untuk `Pass` dapat memungkinkan lalu lintas yang tidak diinginkan.

### Remediasi
<a name="networkfirewall-5-remediation"></a>

Untuk mengubah kebijakan firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **tindakan default Stateless**, pilih **Edit**. **Kemudian, pilih **Jatuhkan** atau **Teruskan ke grup aturan stateful** sebagai Tindakan.**

## [NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
<a name="networkfirewall-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21),, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.14, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.13.6

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup aturan stateless AWS Network Firewall berisi aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan berisi aturan yang menentukan bagaimana firewall Anda memproses lalu lintas di VPC Anda. Grup aturan stateless kosong, ketika ada dalam kebijakan firewall, mungkin memberi kesan bahwa grup aturan akan memproses lalu lintas. Namun, ketika grup aturan stateless kosong, itu tidak memproses lalu lintas.

### Remediasi
<a name="networkfirewall-6-remediation"></a>

Untuk menambahkan aturan ke grup aturan Firewall Jaringan, lihat [Memperbarui grup aturan stateful di Panduan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) *Pengembang*. Pada halaman detail firewall, untuk **grup aturan Stateless**, pilih **Edit** untuk menambahkan aturan.

## [NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
<a name="networkfirewall-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan:** `tagged-networkfirewall-firewall` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Network Firewall firewall memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika firewall tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika firewall tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="networkfirewall-7-remediation"></a>

Untuk menambahkan tag ke firewall Network Firewall, lihat [Menandai AWS Network Firewall sumber daya](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
<a name="networkfirewall-8"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan:** `tagged-networkfirewall-firewallpolicy` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah kebijakan AWS Network Firewall firewall memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika kebijakan firewall tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan firewall tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="networkfirewall-8-remediation"></a>

Untuk menambahkan tag ke kebijakan Network Firewall, lihat [Menandai AWS Network Firewall sumber daya](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
<a name="networkfirewall-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Network Firewall firewall memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika perlindungan penghapusan tidak diaktifkan untuk firewall.

AWS Network Firewall adalah firewall jaringan stateful, dikelola dan layanan deteksi intrusi yang memungkinkan Anda untuk memeriksa dan memfilter lalu lintas ke, dari, atau antara Virtual Private Clouds () Anda. VPCs Pengaturan perlindungan penghapusan melindungi terhadap penghapusan firewall yang tidak disengaja.

### Remediasi
<a name="networkfirewall-9-remediation"></a>

Untuk mengaktifkan proteksi penghapusan pada firewall Network Firewall yang ada, lihat [Memperbarui firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **Ubah perlindungan**, pilih **Aktifkan**. Anda juga dapat mengaktifkan perlindungan penghapusan dengan menjalankan [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API dan menyetel bidang ke. `DeleteProtection` `true`

## [NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
<a name="networkfirewall-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah perlindungan perubahan subnet diaktifkan untuk AWS Network Firewall firewall. Kontrol gagal jika perlindungan perubahan subnet tidak diaktifkan untuk firewall.

AWS Network Firewall adalah firewall jaringan stateful yang dikelola dan layanan deteksi intrusi yang dapat Anda gunakan untuk memeriksa dan memfilter lalu lintas ke, dari, atau di antara Virtual Private Clouds () Anda. VPCs Jika Anda mengaktifkan perlindungan perubahan subnet untuk firewall Network Firewall, Anda dapat melindungi firewall terhadap perubahan yang tidak disengaja pada asosiasi subnet firewall.

### Remediasi
<a name="networkfirewall-10-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan perubahan subnet untuk firewall Network Firewall yang ada, lihat [Memperbarui firewall di Panduan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) *Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon Service OpenSearch
<a name="opensearch-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi OpenSearch layanan dan sumber daya Amazon OpenSearch Service (Service). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
<a name="opensearch-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki encryption-at-rest konfigurasi yang diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain OpenSearch Layanan Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, AWS KMS menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS gunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang enkripsi OpenSearch Layanan saat istirahat, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) di *Panduan Pengembang OpenSearch * *Layanan Amazon*.

### Remediasi
<a name="opensearch-1-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk OpenSearch domain baru dan yang sudah ada, lihat [Mengaktifkan enkripsi data saat istirahat di](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) Panduan *Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.2] OpenSearch domain tidak boleh diakses publik
<a name="opensearch-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, (7),, (21),,, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain berada dalam VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik.

Anda harus memastikan bahwa OpenSearch domain tidak dilampirkan ke subnet publik. Lihat [Kebijakan berbasis sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) Layanan Amazon OpenSearch . Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) di Panduan Pengguna Amazon VPC.

OpenSearch domain yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui AWS jaringan pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke OpenSearch domain, termasuk ACL jaringan dan grup keamanan. Security Hub menyarankan agar Anda memigrasikan OpenSearch domain publik VPCs untuk memanfaatkan kontrol ini.

### Remediasi
<a name="opensearch-2-remediation"></a>

Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus [membuat domain lain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) atau menonaktifkan kontrol ini.

Untuk petunjuknya, lihat [Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) di Panduan Pengembang *Layanan OpenSearch Amazon*.

## [Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
<a name="opensearch-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan node-to-node enkripsi. Kontrol ini gagal jika node-to-node enkripsi dinonaktifkan pada domain.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk OpenSearch domain memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.

### Remediasi
<a name="opensearch-3-remediation"></a>

Untuk mengaktifkan node-to-node enkripsi pada OpenSearch domain, lihat [Mengaktifkan node-to-node enkripsi](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
<a name="opensearch-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logtype = 'error'`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi untuk mengirim log kesalahan ke CloudWatch Log. Kontrol ini gagal jika error logging ke tidak CloudWatch diaktifkan untuk domain.

Anda harus mengaktifkan log kesalahan untuk OpenSearch domain dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="opensearch-4-remediation"></a>

Untuk mengaktifkan penerbitan log, lihat [Mengaktifkan penerbitan log (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
<a name="opensearch-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(tidak dapat disesuaikan) - Security Hub CSPM tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan pencatatan audit. Kontrol ini gagal jika OpenSearch domain tidak mengaktifkan pencatatan audit.

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di OpenSearch klaster Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeksOpenSearch, dan kueri penelusuran yang masuk.

### Remediasi
<a name="opensearch-5-remediation"></a>

Untuk petunjuk cara mengaktifkan log audit, lihat [Mengaktifkan log audit di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) *Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
<a name="opensearch-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi dengan setidaknya tiga node data dan `zoneAwarenessEnabled` adalah`true`. Kontrol ini gagal untuk OpenSearch domain jika `instanceCount` kurang dari 3 atau `zoneAwarenessEnabled` kurang`false`.

Untuk mencapai ketersediaan tinggi tingkat cluster dan toleransi kesalahan, OpenSearch domain harus memiliki setidaknya tiga node data. Menyebarkan OpenSearch domain dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

### Remediasi
<a name="opensearch-6-remediation"></a>

**Untuk mengubah jumlah node data dalam OpenSearch domain**

1. Masuk ke AWS konsol dan buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain saya**, pilih nama domain yang akan diedit, dan pilih **Edit**.

1. Di bawah **Data node** mengatur **Jumlah node** ke angka yang lebih besar dari`3`. Jika Anda menerapkan ke tiga Availability Zone, setel nomor ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone. 

1. Pilih **Kirim**.

## [Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
<a name="opensearch-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen Akses Aman > Tindakan API sensitif dibatasi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki kontrol akses berbutir halus yang diaktifkan. Kontrol gagal jika kontrol akses berbutir halus tidak diaktifkan. Kontrol akses berbutir halus membutuhkan OpenSearch parameter `advanced-security-options` yang akan diaktifkan`update-domain-config`.

Kontrol akses berbutir halus menawarkan cara tambahan untuk mengontrol akses ke data Anda di Layanan Amazon. OpenSearch 

### Remediasi
<a name="opensearch-7-remediation"></a>

*Untuk mengaktifkan kontrol akses berbutir halus, lihat Kontrol akses [berbutir halus di OpenSearch Layanan Amazon di Panduan Pengembang Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html). OpenSearch *

## [Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
<a name="opensearch-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir domain OpenSearch Layanan Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir OpenSearch domain tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya. 

### Remediasi
<a name="opensearch-8-remediation"></a>

Untuk mengaktifkan enkripsi TLS, gunakan operasi [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Konfigurasikan [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)bidang untuk menentukan nilai untuk`TLSSecurityPolicy`. Untuk informasi selengkapnya, lihat [Node-to-node enkripsi](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.9] domain harus ditandai OpenSearch
<a name="opensearch-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan:** `tagged-opensearch-domain` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="opensearch-9-remediation"></a>

Untuk menambahkan tag ke domain OpenSearch Layanan, lihat [Bekerja dengan tag](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
<a name="opensearch-10"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki pembaruan perangkat lunak terbaru yang diinstal. Kontrol gagal jika pembaruan perangkat lunak tersedia tetapi tidak diinstal untuk domain.

OpenSearch Pembaruan perangkat lunak layanan menyediakan perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan. Menjaga up-to-date instalasi patch membantu menjaga keamanan dan ketersediaan domain. Jika tidak ada tindakan yang diambil pada pembaruan yang diperlukan, perangkat lunak layanan diperbarui secara otomatis (biasanya setelah 2 minggu). Kami merekomendasikan penjadwalan pembaruan selama waktu lalu lintas rendah ke domain untuk meminimalkan gangguan layanan. 

### Remediasi
<a name="opensearch-10-remediation"></a>

Untuk menginstal pembaruan perangkat lunak untuk OpenSearch domain, lihat [Memulai pembaruan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
<a name="opensearch-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon dikonfigurasi dengan setidaknya tiga node utama khusus. Kontrol gagal jika domain memiliki kurang dari tiga node utama khusus.

OpenSearch Layanan menggunakan node primer khusus untuk meningkatkan stabilitas cluster. Node utama khusus melakukan tugas manajemen klaster, tetapi tidak menyimpan data atau menanggapi permintaan unggahan data. Kami menyarankan Anda menggunakan Multi-AZ dengan standby, yang menambahkan tiga node utama khusus untuk setiap domain produksi OpenSearch . 

### Remediasi
<a name="opensearch-11-remediation"></a>

Untuk mengubah jumlah node utama untuk OpenSearch domain, lihat [Membuat dan mengelola domain OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

# Kontrol CSPM Security Hub untuk AWS Private CA
<a name="pca-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Private Certificate Authority (AWS Private CA) layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan
<a name="pca-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Private CA memiliki otoritas sertifikat root (CA) yang dinonaktifkan. Kontrol gagal jika root CA diaktifkan.

Dengan AWS Private CA, Anda dapat membuat hierarki CA yang mencakup CA root dan bawahan CAs. Anda harus meminimalkan penggunaan CA root untuk tugas sehari-hari, terutama di lingkungan produksi. Root CA seharusnya hanya digunakan untuk menerbitkan sertifikat untuk perantara CAs. Hal ini memungkinkan CA root disimpan di luar bahaya sementara perantara CAs melakukan tugas harian menerbitkan sertifikat entitas akhir.

### Remediasi
<a name="pca-1-remediation"></a>

Untuk menonaktifkan root CA, lihat [Memperbarui status CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) di *Panduan AWS Private Certificate Authority Pengguna*.

## [PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai
<a name="pca-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config aturan:** `acmpca-certificate-authority-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah otoritas sertifikat CA AWS Pribadi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika otoritas sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika otoritas sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="pca-2-remediation"></a>

Untuk menambahkan tag ke otoritas CA AWS Pribadi, lihat [Menambahkan tag untuk CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) di *Panduan AWS Private Certificate Authority Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon RDS
<a name="rds-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi sumber daya Amazon Relational Database Service (Amazon RDS) dan Amazon RDS. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] Snapshot RDS harus pribadi
<a name="rds-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, (7),, (21),,, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot Amazon RDS bersifat publik. Kontrol gagal jika snapshot RDS bersifat publik. Kontrol ini mengevaluasi instans RDS, instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB.

Snapshot RDS digunakan untuk mencadangkan data pada instans RDS Anda pada titik waktu tertentu. Mereka dapat digunakan untuk mengembalikan status instans RDS sebelumnya.

Snapshot RDS tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, ini membuat snapshot tersedia untuk semua. Akun AWS Hal ini dapat mengakibatkan paparan data yang tidak diinginkan dari instans RDS Anda.

Perhatikan bahwa jika konfigurasi diubah untuk mengizinkan akses publik, AWS Config aturan mungkin tidak dapat mendeteksi perubahan hingga 12 jam. Sampai AWS Config aturan mendeteksi perubahan, cek lolos meskipun konfigurasi melanggar aturan.

Untuk mempelajari lebih lanjut tentang berbagi snapshot DB, lihat [Berbagi snapshot DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) di Panduan Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-1-remediation"></a>

Untuk menghapus akses publik dari snapshot RDS, lihat [Berbagi snapshot di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) Pengguna *Amazon RDS*. **Untuk **visibilitas snapshot DB**, kami memilih Private.**

## [RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible
<a name="rds-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.3, Tolok Ukur AWS Yayasan CIS v3.0.0/2.3.3,, (21),, (11), (16), NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2 1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS dapat diakses publik dengan mengevaluasi `PubliclyAccessible` bidang dalam item konfigurasi instans.

Instans Neptunus DB dan cluster Amazon DocumentDB tidak memiliki bendera dan tidak dapat dievaluasi. `PubliclyAccessible` Namun, kontrol ini masih dapat menghasilkan temuan untuk sumber daya ini. Anda dapat menekan temuan ini.

`PubliclyAccessible`Nilai dalam konfigurasi instans RDS menunjukkan apakah instans DB dapat diakses publik. Ketika instans DB dikonfigurasi dengan`PubliclyAccessible`, itu adalah instance yang menghadap Internet dengan nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik. Ketika instans DB tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi.

Kecuali jika Anda bermaksud agar instans RDS Anda dapat diakses publik, instans RDS tidak boleh dikonfigurasi dengan nilai. `PubliclyAccessible` Melakukannya mungkin memungkinkan lalu lintas yang tidak perlu ke instance database Anda.

### Remediasi
<a name="rds-2-remediation"></a>

Untuk menghapus akses publik dari instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS. Untuk **akses Publik**, pilih **No**.

## [RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
<a name="rds-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.1, Tolok Ukur Yayasan CIS v3.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.3.1, (1), 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda.

Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Untuk lapisan keamanan tambahan untuk data sensitif Anda dalam instans RDS DB, Anda harus mengonfigurasi instans RDS DB Anda untuk dienkripsi saat istirahat. Untuk mengenkripsi instans dan snapshot RDS DB Anda saat istirahat, aktifkan opsi enkripsi untuk instans RDS DB Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. 

Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans RDS DB Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien database Anda untuk menggunakan enkripsi. 

Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) Pengguna *Amazon* RDS.

### Remediasi
<a name="rds-3-remediation"></a>

*Untuk informasi tentang mengenkripsi instans DB di Amazon RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).*

## [RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
<a name="rds-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot RDS DB dienkripsi. Kontrol gagal jika snapshot RDS DB tidak dienkripsi.

Kontrol ini ditujukan untuk instans RDS DB. Namun, ini juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. Data dalam snapshot RDS harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="rds-4-remediation"></a>

*Untuk mengenkripsi snapshot RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).* Saat Anda mengenkripsi instans RDS DB, data terenkripsi mencakup penyimpanan yang mendasari untuk instance, pencadangan otomatisnya, replika baca, dan snapshot.

Anda hanya dapat mengenkripsi instans RDS DB saat Anda membuatnya, bukan setelah instans DB dibuat. Namun, karena Anda dapat mengenkripsi salinan snapshot yang tidak dienkripsi, Anda dapat menambahkan enkripsi secara efektif ke instans DB yang tidak terenkripsi. Artinya, Anda dapat membuat snapshot instans DB, lalu membuat salinan terenkripsi dari snapshot tersebut. Anda kemudian dapat memulihkan instans DB dari snapshot terenkripsi untuk menghasilkan salinan terenkripsi dari instans DB asli.

## [RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
<a name="rds-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Kontrol gagal jika instans RDS DB tidak dikonfigurasi dengan beberapa Availability Zones (AZs). Kontrol ini tidak berlaku untuk instans RDS DB yang merupakan bagian dari penerapan cluster DB multi-AZ.

Mengonfigurasi instans Amazon RDS DB dengan AZs membantu memastikan ketersediaan data yang disimpan. Penerapan multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan AZ dan selama pemeliharaan RDS reguler.

### Remediasi
<a name="rds-5-remediation"></a>

Untuk menerapkan instans DB Anda dalam beberapa kali AZs, [Memodifikasi instans DB menjadi penerapan instans DB multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) di Panduan Pengguna *Amazon* RDS.

## [RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
<a name="rds-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Jumlah detik antara pemantauan interval pengumpulan metrik  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pemantauan yang disempurnakan diaktifkan untuk instans DB Amazon Relational Database Service (Amazon RDS). Kontrol gagal jika pemantauan yang ditingkatkan tidak diaktifkan untuk instance. Jika Anda memberikan nilai khusus untuk `monitoringInterval` parameter, kontrol hanya akan diteruskan jika metrik pemantauan yang disempurnakan dikumpulkan untuk instance pada interval yang ditentukan.

Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Enhanced Monitoring menyediakan metrik real-time dari sistem operasi yang dijalankan instans RDS DB Anda. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang mungkin dari lapisan hypervisor.

Metrik Pemantauan Ditingkatkan berguna ketika Anda ingin melihat bagaimana proses atau thread yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat [Pemantauan yang Ditingkatkan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) di *Panduan Pengguna Amazon RDS*.

### Remediasi
<a name="rds-6-remediation"></a>

Untuk petunjuk mendetail tentang mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB Anda, lihat [Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) di Panduan Pengguna *Amazon RDS*.

## [RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan
<a name="rds-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster RDS DB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika cluster RDS DB tidak mengaktifkan perlindungan penghapusan.

Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Mengaktifkan perlindungan penghapusan klaster adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.

Ketika perlindungan penghapusan diaktifkan, klaster RDS tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.

### Remediasi
<a name="rds-7-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster RDS DB, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) Panduan Pengguna Amazon RDS.* Untuk **perlindungan penghapusan, pilih Aktifkan perlindungan** **penghapusan**. 

## [RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
<a name="rds-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang terdaftar memiliki perlindungan penghapusan diaktifkan. Kontrol gagal jika instans RDS DB tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.

Sementara perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.

### Remediasi
<a name="rds-8-remediation"></a>

Untuk mengaktifkan perlindungan penghapusan instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna *Amazon* RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html). Untuk **perlindungan penghapusan, pilih Aktifkan perlindungan** **penghapusan**. 

## [RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
<a name="rds-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS DB dikonfigurasi untuk mempublikasikan log berikut ke Amazon CloudWatch Logs. Kontrol gagal jika instance tidak dikonfigurasi untuk mempublikasikan log berikut ke CloudWatch Log:
+ Oracle: Peringatan, Audit, Jejak, Pendengar
+ PostgreSQL: Postgresql, Tingkatkan
+ MySQL: Audit, Kesalahan, Umum, SlowQuery
+ MariaDB: Audit, Kesalahan, Umum, SlowQuery
+ SQL Server: Kesalahan, Agen
+ Aurora: Audit, Kesalahan, Umum, SlowQuery
+ Aurora-MySQL: Audit, Kesalahan, Umum, SlowQuery
+ Aurora-PostgreSQL: Postgresql

Database RDS harus mengaktifkan log yang relevan. Database logging menyediakan catatan rinci permintaan yang dibuat untuk RDS. Log basis data dapat membantu audit keamanan dan akses dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="rds-9-remediation"></a>

Untuk informasi tentang memublikasikan log database RDS ke CloudWatch Log, lihat [Menentukan log yang akan dipublikasikan ke CloudWatch Log](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) di Panduan Pengguna *Amazon RDS.*

## [RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS
<a name="rds-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans RDS DB memiliki otentikasi database IAM diaktifkan. Kontrol gagal jika otentikasi IAM tidak dikonfigurasi untuk instans RDS DB. Kontrol ini hanya mengevaluasi instans RDS dengan jenis mesin berikut:`mysql`,,,, `postgres` `aurora``aurora-mysql`, `aurora-postgresql` dan. `mariadb` Instance RDS juga harus berada di salah satu status berikut untuk menghasilkan temuan:`available`,, `backing-up``storage-optimization`, atau`storage-full`.

Autentikasi basis data IAM memungkinkan otentikasi ke instance database dengan token otentikasi, bukan kata sandi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat [autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) di Panduan Pengguna *Amazon Aurora*.

### Remediasi
<a name="rds-10-remediation"></a>

*Untuk mengaktifkan autentikasi database IAM pada instans RDS DB, lihat [Mengaktifkan dan menonaktifkan autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) di Panduan Pengguna Amazon RDS.*

## [RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis
<a name="rds-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 
|  `checkReadReplicas`  |  Memeriksa apakah instans RDS DB memiliki cadangan yang diaktifkan untuk replika baca  |  Boolean  |  Tidak dapat disesuaikan  |  `false`  | 

Kontrol ini memeriksa apakah instans Amazon Relational Database Service telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Baca replika dikecualikan dari evaluasi. Kontrol gagal jika cadangan tidak diaktifkan untuk instance, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Amazon RDS memungkinkan Anda mengonfigurasi snapshot volume instans penuh harian. Untuk informasi selengkapnya tentang pencadangan otomatis Amazon RDS, lihat [Bekerja dengan Pencadangan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) di Panduan Pengguna *Amazon* RDS.

### Remediasi
<a name="rds-11-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis pada instans RDS DB, lihat [Mengaktifkan pencadangan otomatis](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) di Panduan Pengguna Amazon RDS.*

## [RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
<a name="rds-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki otentikasi database IAM yang diaktifkan.

Autentikasi basis data IAM memungkinkan otentikasi bebas kata sandi ke instance database. Otentikasi menggunakan token otentikasi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat [autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) di Panduan Pengguna *Amazon Aurora*.

### Remediasi
<a name="rds-12-remediation"></a>

*Untuk mengaktifkan autentikasi IAM untuk kluster DB, lihat [Mengaktifkan dan menonaktifkan autentikasi database IAM di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) Panduan Pengguna Amazon Aurora.* 

## [RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan
<a name="rds-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.2, Tolok Ukur Yayasan CIS AWS v3.0.0/2.3.2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance database RDS.

Upgrade versi minor otomatis memperbarui database secara berkala ke versi mesin database terbaru. Namun, upgrade mungkin tidak selalu menyertakan versi mesin database terbaru. Jika Anda perlu menyimpan database Anda pada versi tertentu pada waktu tertentu, kami sarankan Anda meningkatkan secara manual ke versi database yang Anda butuhkan sesuai dengan jadwal yang Anda butuhkan. Dalam kasus masalah keamanan kritis atau ketika versi mencapai end-of-support tanggalnya, Amazon RDS mungkin menerapkan pemutakhiran versi minor meskipun Anda belum mengaktifkan opsi **pemutakhiran versi minor Otomatis**. Untuk informasi selengkapnya, lihat dokumentasi pemutakhiran Amazon RDS untuk mesin database spesifik Anda:
+ [Upgrade versi minor otomatis untuk RDS untuk MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Upgrade versi minor otomatis untuk RDS untuk MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Upgrade versi minor otomatis untuk RDS untuk PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 pada versi Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Upgrade versi minor Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Peningkatan mesin Microsoft SQL Server DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Remediasi
<a name="rds-13-remediation"></a>

Untuk mengaktifkan upgrade versi minor otomatis untuk instans DB yang ada, lihat [Memodifikasi instans Amazon RDS DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Pengguna *Amazon RDS*. Untuk **upgrade versi minor otomatis**, pilih **Ya**.

## [RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
<a name="rds-14"></a>

**Persyaratan terkait:** Nist.800-53.r5 CP-10, Nist.800-53.r5 CP-6, Nist.800-53.R5 CP-6 (1), Nist.800-53.r5 CP-6 (2), Nist.800-53.r5 CP-9, Nist.800-53.r5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Jumlah jam untuk mundur cluster Aurora MySQL  |  Ganda  |  `0.1` untuk `72`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon Aurora telah mengaktifkan backtracking. Kontrol gagal jika cluster tidak mengaktifkan backtracking. Jika Anda memberikan nilai kustom untuk `BacktrackWindowInHours` parameter, kontrol hanya akan diteruskan jika cluster mundur untuk jangka waktu yang ditentukan.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu. Itu tidak memerlukan pengembalian database untuk melakukannya.

### Remediasi
<a name="rds-14-remediation"></a>

*Untuk mengaktifkan backtracking Aurora, lihat [Mengonfigurasi backtracking di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) Panduan Pengguna Amazon Aurora.*

Perhatikan bahwa Anda tidak dapat mengaktifkan backtracking pada klaster yang ada. Sebagai gantinya, Anda dapat membuat klon yang mengaktifkan backtracking. Untuk informasi selengkapnya tentang batasan backtracking Aurora, lihat daftar batasan di [Ikhtisar](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html) backtracking.

## [RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
<a name="rds-15"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk cluster RDS DB Anda. Kontrol gagal jika klaster RDS DB tidak digunakan di beberapa Availability Zones ()AZs.

Cluster RDS DB harus dikonfigurasi untuk beberapa AZs untuk memastikan ketersediaan data yang disimpan. Penerapan ke beberapa AZs memungkinkan failover otomatis jika terjadi masalah ketersediaan AZ dan selama acara pemeliharaan RDS reguler.

### Remediasi
<a name="rds-15-remediation"></a>

Untuk menerapkan cluster DB Anda dalam beberapa AZs, [Memodifikasi instans DB menjadi penerapan instans DB multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) di Panduan Pengguna *Amazon* RDS.

Langkah-langkah remediasi berbeda untuk database global Aurora. Untuk mengonfigurasi beberapa Availability Zone untuk database global Aurora, pilih cluster DB Anda. Kemudian, pilih **Actions** and **Add reader**, dan tentukan beberapa AZs. Untuk informasi selengkapnya, lihat [Menambahkan Replika Aurora ke cluster DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) Pengguna *Amazon* Aurora.

## [RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-16"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `rds-cluster-copy-tags-to-snapshots-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Amazon Aurora dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster DB saat snapshot dibuat. Kontrol gagal jika cluster Aurora DB tidak dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster saat snapshot dibuat.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua cluster Amazon Aurora DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot Aurora DB harus memiliki tag yang sama dengan cluster DB induknya. Di Amazon Aurora, Anda dapat mengonfigurasi cluster DB untuk secara otomatis menyalin semua tag untuk cluster ke snapshot cluster. Mengaktifkan pengaturan ini memastikan bahwa snapshot DB mewarisi tag yang sama dengan cluster DB induknya.

### Remediasi
<a name="rds-16-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster DB Amazon Aurora agar secara otomatis menyalin tag ke snapshot DB, [lihat Memodifikasi klaster DB Amazon Aurora di Panduan Pengguna Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html).*

## [RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
<a name="rds-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-instance-copy-tags-to-snapshots-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus ditandai dengan cara yang sama seperti instance database RDS induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.

### Remediasi
<a name="rds-17-remediation"></a>

Untuk secara otomatis menyalin tag ke snapshot untuk instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS. Pilih **Salin tag ke snapshot**.

## [RDS.18] Instans RDS harus digunakan di VPC
<a name="rds-18"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-deployed-in-vpc` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS diterapkan pada EC2-VPC.

VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke sumber daya RDS. Kontrol ini termasuk titik akhir VPC, ACL jaringan, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami sarankan Anda membuat instans RDS di EC2-VPC.

### Remediasi
<a name="rds-18-remediation"></a>

*Untuk petunjuk cara memindahkan instans RDS ke VPC, lihat Memperbarui [VPC untuk instans DB di](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) Panduan Pengguna Amazon RDS.*

## [RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting
<a name="rds-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-cluster-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk kluster database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:

```
DBCluster: ["maintenance","failure"]
```

Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-19-remediation"></a>

Untuk berlangganan notifikasi peristiwa klaster RDS, lihat [Berlangganan pemberitahuan acara Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  klaster  | 
|  Cluster untuk dimasukkan  |  Semua cluster  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting
<a name="rds-20"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-instance-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk instans database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:

```
DBInstance: ["maintenance","configuration change","failure"]
```

Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-20-remediation"></a>

Untuk berlangganan notifikasi kejadian instans RDS, lihat [Berlangganan notifikasi peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Contoh  | 
|  Contoh untuk disertakan  |  Semua contoh  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting
<a name="rds-21"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-pg-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

```
DBParameterGroup: ["configuration change"]
```

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-21-remediation"></a>

Untuk berlangganan pemberitahuan peristiwa grup parameter database RDS, lihat [Berlangganan pemberitahuan peristiwa Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) di Panduan Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Grup parameter  | 
|  Kelompok parameter untuk disertakan  |  Semua kelompok parameter  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting
<a name="rds-22"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan Deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-sg-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

```
DBSecurityGroup: ["configuration change","failure"]
```

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-22-remediation"></a>

Untuk berlangganan notifikasi kejadian instans RDS, lihat [Berlangganan notifikasi peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Grup keamanan  | 
|  Kelompok keamanan untuk memasukkan  |  Semua kelompok keamanan  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
<a name="rds-23"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-no-default-ports` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster RDS atau instance menggunakan port selain port default mesin database. Kontrol gagal jika cluster atau instance RDS menggunakan port default. Kontrol ini tidak berlaku untuk instance RDS yang merupakan bagian dari cluster.

Jika Anda menggunakan port yang dikenal untuk menyebarkan cluster atau instance RDS, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke cluster atau instance RDS atau mendapatkan informasi tambahan tentang aplikasi Anda.

Ketika Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk terhubung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu termasuk aturan masuk yang memungkinkan konektivitas pada port baru.

### Remediasi
<a name="rds-23-remediation"></a>

Untuk mengubah port default instans RDS DB yang ada, lihat [Memodifikasi instans Amazon RDS DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Pengguna *Amazon RDS*. *Untuk mengubah port default klaster RDS DB yang ada, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) Panduan Pengguna Amazon Aurora.* Untuk **port Database**, ubah nilai port ke nilai non-default.

## [RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
<a name="rds-24"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster database Amazon RDS telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB). Aturan ini akan gagal jika nama pengguna admin diatur ke nilai default.

Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah selama pembuatan database RDS. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="rds-24-remediation"></a>

Untuk mengubah nama pengguna admin yang terkait dengan kluster database Amazon RDS, [buat kluster database RDS baru](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) dan ubah nama pengguna admin default saat membuat database.

## [RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
<a name="rds-25"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda telah mengubah nama pengguna administratif untuk instans database Amazon Relational Database Service (Amazon RDS) dari nilai default. Kontrol gagal jika nama pengguna administratif diatur ke nilai default. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB), dan untuk instance RDS yang merupakan bagian dari cluster. 

Nama pengguna administratif default pada database Amazon RDS adalah pengetahuan publik. Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna administratif default ke nilai unik untuk mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="rds-25-remediation"></a>

Untuk mengubah nama pengguna administratif yang terkait dengan instance database RDS, pertama [buat instance database RDS baru](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Ubah nama pengguna administratif default saat membuat database.

## [RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
<a name="rds-26"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke true dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi jika instans Amazon RDS DB dicakup oleh paket cadangan. Kontrol ini gagal jika instans RDS DB tidak tercakup oleh rencana cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika instance dicadangkan di brankas yang AWS Backup terkunci.

**catatan**  
Kontrol ini tidak mengevaluasi instance Neptunus dan DocumentDB. Itu juga tidak mengevaluasi instans RDS DB yang merupakan anggota cluster.

AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat kebijakan cadangan yang disebut rencana cadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. Menyertakan instans RDS DB dalam paket cadangan membantu Anda melindungi data Anda dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="rds-26-remediation"></a>

Untuk menambahkan instans RDS DB ke paket AWS Backup cadangan, lihat [Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) *Pengembang*.

## [RDS.27] Cluster RDS DB harus dienkripsi saat istirahat
<a name="rds-27"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster RDS DB dienkripsi saat istirahat. Kontrol gagal jika cluster RDS DB tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster RDS DB Anda melindungi data dan metadata Anda terhadap akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.

### Remediasi
<a name="rds-27-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster RDS DB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat [Mengenkripsi klaster Amazon Aurora DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) di Panduan Pengguna Amazon *Aurora*.

## [RDS.28] Cluster RDS DB harus ditandai
<a name="rds-28"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `tagged-rds-dbcluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-28-remediation"></a>

Untuk menambahkan tag ke kluster RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.29] Snapshot cluster RDS DB harus ditandai
<a name="rds-29"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan:** `tagged-rds-dbclustersnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah snapshot kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-29-remediation"></a>

Untuk menambahkan tag ke snapshot klaster RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.30] Instans RDS DB harus ditandai
<a name="rds-30"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `tagged-rds-dbinstance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah instans Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika instans DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-30-remediation"></a>

Untuk menambahkan tag ke instans RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.31] Grup keamanan RDS DB harus ditandai
<a name="rds-31"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSecurityGroup`

**AWS Config aturan:** `tagged-rds-dbsecuritygroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika grup keamanan DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-31-remediation"></a>

Untuk menambahkan tag ke grup keamanan RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.32] Snapshot RDS DB harus ditandai
<a name="rds-32"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSnapshot`

**AWS Config aturan:** `tagged-rds-dbsnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah snapshot Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-32-remediation"></a>

Untuk menambahkan tag ke snapshot RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.33] Grup subnet RDS DB harus ditandai
<a name="rds-33"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSubnetGroup`

**AWS Config aturan:** `tagged-rds-dbsubnetgroups` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup subnet Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-33-remediation"></a>

Untuk menambahkan tag ke grup subnet RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
<a name="rds-34"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak dikonfigurasi untuk mempublikasikan log audit ke CloudWatch Log. Kontrol tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB.

Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan. Saat mengonfigurasi klaster DB MySQL Aurora untuk mempublikasikan log audit ke grup log di Amazon Logs, Anda dapat melakukan analisis data CloudWatch log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

**catatan**  
Cara alternatif untuk mempublikasikan log audit ke CloudWatch Log adalah dengan mengaktifkan audit lanjutan dan menyetel parameter DB tingkat cluster ke. `server_audit_logs_upload` `1` Default untuk `server_audit_logs_upload parameter` adalah`0`. Namun, kami sarankan Anda menggunakan instruksi remediasi berikut sebagai gantinya untuk melewati kontrol ini.

### Remediasi
<a name="rds-34-remediation"></a>

*Untuk mempublikasikan log audit klaster MySQL DB Aurora ke Log, CloudWatch lihat Menerbitkan log [MySQL Amazon Aurora ke Log](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Amazon di Panduan Pengguna Amazon Aurora. CloudWatch *

## [RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
<a name="rds-35"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemutakhiran versi minor otomatis diaktifkan untuk cluster DB Multi-AZ Amazon RDS. Kontrol gagal jika pemutakhiran versi minor otomatis tidak diaktifkan untuk cluster DB multi-AZ.

RDS menyediakan upgrade versi minor otomatis sehingga Anda dapat menjaga cluster DB multi-AZ Anda tetap up to date. Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan upgrade versi minor otomatis pada cluster database RDS, cluster, bersama dengan instance di cluster, akan menerima pembaruan otomatis ke versi minor ketika versi baru tersedia. Pembaruan diterapkan secara otomatis selama jendela pemeliharaan.

### Remediasi
<a name="rds-35-remediation"></a>

Untuk mengaktifkan pemutakhiran versi minor otomatis pada klaster DB multi-AZ, lihat [Memodifikasi klaster DB Multi-AZ di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) *Amazon* RDS.

## [RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
<a name="rds-36"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar tipe log yang dipisahkan koma untuk dipublikasikan ke Log CloudWatch   |  StringList  |  Tidak dapat disesuaikan  |  `postgresql`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for PostgreSQL DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika instans PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan jenis log yang disebutkan dalam parameter ke Log. `logTypes` CloudWatch 

Database logging menyediakan catatan rinci permintaan yang dibuat untuk instance RDS. PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

### Remediasi
<a name="rds-36-remediation"></a>

*Untuk memublikasikan log instans PostgreSQL DB ke Log, lihat [Menerbitkan CloudWatch log PostgreSQL ke Log Amazon di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs). CloudWatch *

## [RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
<a name="rds-37"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB PostgreSQL Amazon Aurora dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika klaster Aurora PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan log PostgreSQL ke Log. CloudWatch 

Database logging menyediakan catatan rinci permintaan yang dibuat untuk cluster RDS. Aurora PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

### Remediasi
<a name="rds-37-remediation"></a>

*Untuk memublikasikan log klaster Aurora PostgreSQL DB ke Log, CloudWatch lihat Menerbitkan log [PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html) Aurora ke Log Amazon di Panduan Pengguna Amazon RDS. CloudWatch *

## [RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
<a name="rds-38"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for PostgreSQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika `rds.force_ssl` parameter untuk grup parameter yang terkait dengan instance disetel ke `0` (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="rds-38-remediation"></a>

*Untuk mewajibkan semua koneksi ke RDS agar instans PostgreSQL DB menggunakan SSL, lihat [Menggunakan SSL dengan instans PostgreSQL DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) Pengguna Amazon RDS.*

## [RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
<a name="rds-39"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for MySQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika `rds.require_secure_transport` parameter untuk grup parameter yang terkait dengan instance disetel ke `0` (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="rds-39-remediation"></a>

*Untuk mewajibkan semua koneksi ke RDS agar instans MySQL DB menggunakan SSL, lihat [dukungan SSL/TLS untuk instans MySQL DB di Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) Pengguna Amazon RDS.*

## [RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
<a name="rds-40"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar jenis log yang RDS untuk SQL Server DB instance harus dikonfigurasi untuk dipublikasikan ke CloudWatch Log. Kontrol ini gagal jika instans DB tidak dikonfigurasi untuk mempublikasikan jenis log yang ditentukan dalam daftar.  |  EnumList (maksimal 2 item)  |  `agent`, `error`  |  `agent`, `error`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for Microsoft SQL Server DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika RDS untuk instans SQL Server DB tidak dikonfigurasi untuk mempublikasikan log ke CloudWatch Log. Anda dapat secara opsional menentukan jenis log yang instans DB harus dikonfigurasi untuk diterbitkan.

Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke instans Amazon RDS DB. Menerbitkan CloudWatch log ke Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Selain itu, Anda dapat menggunakannya untuk membuat alarm untuk kesalahan tertentu yang dapat terjadi, seperti sering restart yang direkam dalam log kesalahan. Demikian pula, Anda dapat membuat alarm untuk kesalahan atau peringatan yang direkam dalam log agen SQL Server yang terkait dengan pekerjaan agen SQL.

### Remediasi
<a name="rds-40-remediation"></a>

Untuk informasi tentang memublikasikan CloudWatch log ke Log untuk instans DB RDS for SQL Server, lihat file log [database Amazon RDS for Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) di Panduan Pengguna Layanan Amazon *Relational Database Service*.

## [RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
<a name="rds-41"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke Amazon RDS untuk instans Microsoft SQL Server DB dienkripsi dalam perjalanan. Kontrol gagal jika parameter grup `rds.force_ssl` parameter yang terkait dengan instans DB diatur ke`0 (off)`.

Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.

### Remediasi
<a name="rds-41-remediation"></a>

Untuk informasi tentang mengaktifkan SSL/TLS koneksi ke instans Amazon RDS DB yang menjalankan Microsoft SQL Server, lihat [Menggunakan SSL dengan Instans DB Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) di Panduan Pengguna Layanan Amazon Relational *Database Service*.

## [RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
<a name="rds-42"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar jenis log yang instance MariaDB harus dikonfigurasi untuk dipublikasikan ke Log. CloudWatch Kontrol menghasilkan `FAILED` temuan jika instans DB tidak dikonfigurasi untuk mempublikasikan jenis log yang ditentukan dalam daftar.  |  EnumList (maksimal 4 item)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for MariaDB DB dikonfigurasi untuk mempublikasikan jenis log tertentu ke Amazon Logs. CloudWatch Kontrol gagal jika instance MariaDB tidak dikonfigurasi untuk mempublikasikan log ke Log. CloudWatch Anda dapat secara opsional menentukan jenis log yang mana instance MariaDB DB harus dikonfigurasi untuk dipublikasikan.

Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke Amazon RDS for MariaDB instans DB. Menerbitkan log ke Amazon CloudWatch Logs memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. Selain itu, CloudWatch Log menyimpan log dalam penyimpanan yang tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat membuat alarm dan meninjau metrik.

### Remediasi
<a name="rds-42-remediation"></a>

*Untuk informasi tentang mengonfigurasi instans Amazon RDS for MariaDB untuk mempublikasikan log ke Log Amazon, lihat Menerbitkan log [MariaDB ke Log CloudWatch Amazon di CloudWatch Panduan Pengguna Layanan Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*

## [RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
<a name="rds-43"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBProxy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah proxy Amazon RDS DB memerlukan TLS untuk semua koneksi antara proxy dan instans RDS DB yang mendasarinya. Kontrol gagal jika proxy tidak memerlukan TLS untuk semua koneksi antara proxy dan instans RDS DB.

Amazon RDS Proxy dapat bertindak sebagai lapisan keamanan tambahan antara aplikasi klien dan instans RDS DB yang mendasarinya. Misalnya, Anda dapat terhubung ke proxy RDS menggunakan TLS 1.3, meskipun instans DB yang mendasarinya mendukung versi TLS yang lebih lama. Dengan menggunakan RDS Proxy, Anda dapat menerapkan persyaratan otentikasi yang kuat untuk aplikasi database.

### Remediasi
<a name="rds-43-remediation"></a>

Untuk informasi tentang mengubah setelan proxy Amazon RDS agar memerlukan TLS, lihat [Memodifikasi proxy RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) Pengguna *Layanan Amazon Relational Database Service*.

## [RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
<a name="rds-44"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instans Amazon RDS for MariaDB DB dienkripsi saat transit. Kontrol gagal jika grup parameter DB yang terkait dengan instans DB tidak sinkron, atau `require_secure_transport` parameter grup parameter tidak disetel ke`ON`.

**catatan**  
Kontrol ini tidak mengevaluasi instans Amazon RDS DB yang menggunakan versi MariaDB lebih awal dari versi 10.5. `require_secure_transport`Parameter hanya didukung untuk MariaDB versi 10.5 dan yang lebih baru.

Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.

### Remediasi
<a name="rds-44-remediation"></a>

*Untuk informasi tentang mengaktifkan koneksi ke instans Amazon RDS SSL/TLS for MariaDB DB[, SSL/TLS lihat Memerlukan semua koneksi ke instans DB MariaDB di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Amazon Relational Database Service.*

## [RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
<a name="rds-45"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora mengaktifkan pencatatan audit. Kontrol gagal jika grup parameter DB yang terkait dengan cluster DB tidak sinkron, `server_audit_logging` parameter tidak disetel ke`1`, atau `server_audit_events` parameter diatur ke nilai kosong.

Log basis data dapat membantu audit keamanan dan akses serta membantu mendiagnosis masalah ketersediaan. Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan.

### Remediasi
<a name="rds-45-remediation"></a>

*Untuk informasi tentang mengaktifkan logging untuk kluster DB MySQL Amazon Aurora, lihat Menerbitkan log MySQL [Amazon Aurora ke Log Amazon di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Amazon Aurora. CloudWatch *

## [RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
<a name="rds-46"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS DB digunakan di subnet publik yang memiliki rute ke gateway internet. Kontrol gagal jika instans RDS DB digunakan di subnet yang memiliki rute ke gateway internet dan tujuan diatur ke atau. `0.0.0.0/0` `::/0`

Dengan menyediakan sumber daya Amazon RDS Anda di subnet pribadi, Anda dapat mencegah sumber daya RDS Anda menerima lalu lintas masuk dari internet publik, yang dapat mencegah akses yang tidak diinginkan ke instans RDS DB Anda. Jika sumber daya RDS disediakan dalam subnet publik yang terbuka untuk internet, mereka mungkin rentan terhadap risiko seperti eksfiltrasi data.

### Remediasi
<a name="rds-46-remediation"></a>

Untuk informasi tentang penyediaan subnet pribadi untuk instans Amazon RDS DB, lihat [Bekerja dengan instans DB di VPC di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) Layanan Amazon Relational Database *Service*.

## [RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-47"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon RDS for PostgreSQL DB dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster DB saat snapshot dibuat. Kontrol gagal jika `CopyTagsToSnapshot` parameter diatur ke untuk RDS `false` untuk PostgreSQL DB cluster.

Menyalin tag ke snapshot DB membantu menjaga pelacakan sumber daya, tata kelola, dan alokasi biaya yang tepat di seluruh sumber daya cadangan. Hal ini memungkinkan identifikasi sumber daya yang konsisten, kontrol akses, dan pemantauan kepatuhan di database aktif dan snapshot mereka. Snapshot yang ditandai dengan benar meningkatkan operasi keamanan dengan memastikan sumber daya cadangan mewarisi metadata yang sama dengan basis data sumbernya.

### Remediasi
<a name="rds-47-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster Amazon RDS for PostgreSQL DB agar secara otomatis menyalin tag ke snapshot DB, [lihat Menandai resource Amazon RDS di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Amazon Relational Database Service.*

## [RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-48"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon RDS for MySQL DB cluster dikonfigurasi untuk secara otomatis menyalin tag ke snapshot dari cluster DB ketika snapshot dibuat. Kontrol gagal jika `CopyTagsToSnapshot` parameter diatur ke untuk RDS `false` untuk MySQL DB cluster.

Menyalin tag ke snapshot DB membantu menjaga pelacakan sumber daya, tata kelola, dan alokasi biaya yang tepat di seluruh sumber daya cadangan. Hal ini memungkinkan identifikasi sumber daya yang konsisten, kontrol akses, dan pemantauan kepatuhan di database aktif dan snapshot mereka. Snapshot yang ditandai dengan benar meningkatkan operasi keamanan dengan memastikan sumber daya cadangan mewarisi metadata yang sama dengan basis data sumbernya.

### Remediasi
<a name="rds-48-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster Amazon RDS for MySQL DB agar secara otomatis menyalin tag ke snapshot DB, [lihat Menandai resource Amazon RDS di Panduan Pengguna Layanan Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Relational Database Service.*

## [RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
<a name="rds-50"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari agar kontrol dapat diperiksa  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah cluster RDS DB memiliki periode retensi cadangan minimum. Kontrol gagal jika periode retensi cadangan kurang dari nilai parameter yang ditentukan. Kecuali Anda memberikan nilai parameter kustom, Security Hub menggunakan nilai default 7 hari.

Kontrol ini memeriksa apakah cluster RDS DB memiliki periode retensi cadangan minimum. Kontrol gagal jika periode retensi cadangan kurang dari nilai parameter yang ditentukan. Kecuali Anda memberikan nilai parameter pelanggan, Security Hub menggunakan nilai default 7 hari. Kontrol ini berlaku untuk semua jenis cluster RDS DB termasuk cluster Aurora DB, cluster DocumentDB, cluster NeptuneDB, dll.

### Remediasi
<a name="rds-50-remediation"></a>

Untuk mengonfigurasi periode retensi cadangan untuk klaster RDS DB, ubah pengaturan cluster dan atur periode retensi cadangan setidaknya 7 hari (atau nilai yang ditentukan dalam parameter kontrol). Untuk petunjuk selengkapnya, lihat [Periode penyimpanan cadangan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) di *Panduan Pengguna Layanan Amazon Relational Database Service*. *Untuk klaster Aurora DB, lihat [Ikhtisar pencadangan dan pemulihan klaster Aurora DB di Panduan Pengguna Amazon Aurora untuk](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) Aurora.* Untuk jenis cluster DB lainnya (misalnya cluster DocumentDB), lihat panduan pengguna layanan terkait untuk cara memperbarui periode retensi cadangan untuk klaster. 

# Kontrol CSPM Security Hub untuk Amazon Redshift
<a name="redshift-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] Cluster Amazon Redshift harus melarang akses publik
<a name="redshift-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah klaster Amazon Redshift dapat diakses publik. Ini mengevaluasi `PubliclyAccessible` bidang dalam item konfigurasi cluster. 

`PubliclyAccessible`Atribut konfigurasi klaster Amazon Redshift menunjukkan apakah klaster dapat diakses publik. Ketika cluster dikonfigurasi dengan `PubliclyAccessible` set to`true`, itu adalah instance yang menghadap Internet yang memiliki nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik.

Ketika cluster tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster Anda dapat diakses oleh publik, cluster tidak boleh dikonfigurasi dengan `PubliclyAccessible` set to`true`.

### Remediasi
<a name="redshift-1-remediation"></a>

Untuk memperbarui klaster Amazon Redshift untuk menonaktifkan akses publik, lihat [Memodifikasi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) Manajemen Pergeseran Merah *Amazon*. Setel **Dapat diakses publik** ke **No**.

## [Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
<a name="redshift-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi dalam perjalanan. Pemeriksaan gagal jika parameter cluster Amazon Redshift `require_SSL` tidak disetel ke. `True`

TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. 

### Remediasi
<a name="redshift-2-remediation"></a>

Untuk memperbarui grup parameter Amazon Redshift agar memerlukan enkripsi, lihat [Memodifikasi grup parameter](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) di Panduan Manajemen Pergeseran Merah *Amazon*. Setel `require_ssl` ke **Benar**.

## [Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
<a name="redshift-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Periode retensi snapshot minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan snapshot otomatis, dan periode retensi yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika snapshot otomatis tidak diaktifkan untuk cluster, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 7 hari.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot periodik secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. *Untuk detail selengkapnya tentang snapshot otomatis Amazon Redshift, lihat Snapshot [otomatis di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) Pergeseran Merah Amazon.*

### Remediasi
<a name="redshift-3-remediation"></a>

Untuk memperbarui periode retensi snapshot untuk klaster Amazon Redshift, [lihat Memodifikasi klaster di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) *Pergeseran Merah* Amazon. Untuk **Backup**, atur **retensi Snapshot** ke nilai 7 atau lebih tinggi.

## [Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
<a name="redshift-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan:** `redshift-cluster-audit-logging-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan pencatatan audit.

Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat [Pencatatan audit database](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) di Panduan *Manajemen Pergeseran Merah Amazon*.

### Remediasi
<a name="redshift-4-remediation"></a>

*Untuk mengonfigurasi pencatatan audit untuk klaster Amazon Redshift, lihat [Mengonfigurasi audit menggunakan konsol di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) Amazon Redshift.*

## [Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
<a name="redshift-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `allowVersionUpgrade = true`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pemutakhiran versi utama otomatis diaktifkan untuk klaster Amazon Redshift.

Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru ke kluster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="redshift-6-remediation"></a>

Untuk mengatasi masalah ini dari AWS CLI, gunakan perintah Amazon `modify-cluster` Redshift, dan setel `--allow-version-upgrade` atribut. `clustername`adalah nama cluster Amazon Redshift Anda.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
<a name="redshift-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Akses pribadi API

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah `EnhancedVpcRouting` diaktifkan.

Perutean VPC yang disempurnakan memaksa semua `COPY` dan `UNLOAD` lalu lintas antara cluster dan repositori data untuk melewati VPC Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC Flow Logs untuk memantau lalu lintas jaringan.

### Remediasi
<a name="redshift-7-remediation"></a>

*Untuk petunjuk remediasi terperinci, lihat [Mengaktifkan perutean VPC yang disempurnakan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
<a name="redshift-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol ini akan gagal jika nama pengguna admin untuk cluster Redshift diatur ke. `awsuser`

Saat membuat klaster Redshift, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah pada konfigurasi. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="redshift-8-remediation"></a>

Anda tidak dapat mengubah nama pengguna admin untuk cluster Amazon Redshift Anda setelah membuatnya. Untuk membuat klaster baru dengan nama pengguna non-default, lihat [Langkah 1: Membuat contoh klaster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) di Panduan Memulai *Amazon Redshift*.

## [Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
<a name="redshift-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster Amazon Redshift dienkripsi saat istirahat. Kontrol gagal jika klaster Redshift tidak dienkripsi saat istirahat atau jika kunci enkripsi berbeda dari kunci yang disediakan dalam parameter aturan.

Di Amazon Redshift, Anda dapat mengaktifkan enkripsi database untuk cluster Anda untuk membantu melindungi data saat istirahat. Saat Anda mengaktifkan enkripsi untuk cluster, blok data dan metadata sistem dienkripsi untuk cluster dan snapshot-nya. Enkripsi data saat istirahat adalah praktik terbaik yang disarankan karena menambahkan lapisan manajemen akses ke data Anda. Mengenkripsi cluster Redshift saat istirahat mengurangi risiko bahwa pengguna yang tidak sah dapat mengakses data yang disimpan pada disk.

### Remediasi
<a name="redshift-10-remediation"></a>

Untuk memodifikasi klaster Redshift agar menggunakan enkripsi KMS, lihat [Mengubah enkripsi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) Manajemen Pergeseran Merah *Amazon*.

## [Redshift.11] Cluster Redshift harus ditandai
<a name="redshift-11"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan:** `tagged-redshift-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-11-remediation"></a>

*Untuk menambahkan tag ke klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*

## [Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
<a name="redshift-12"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::EventSubscription`

**AWS Config aturan:** `tagged-redshift-eventsubscription` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-12-remediation"></a>

*Untuk menambahkan tag ke langganan notifikasi peristiwa Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*

## [Redshift.13] Cuplikan cluster Redshift harus ditandai
<a name="redshift-13"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterSnapshot`

**AWS Config aturan:** `tagged-redshift-clustersnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-13-remediation"></a>

*Untuk menambahkan tag ke snapshot klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.14] Grup subnet cluster Redshift harus ditandai
<a name="redshift-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config aturan:** `tagged-redshift-clustersubnetgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grup subnet klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-14-remediation"></a>

*Untuk menambahkan tag ke grup subnet klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi
<a name="redshift-15"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.3.1

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan yang terkait dengan klaster Amazon Redshift memiliki aturan masuk yang mengizinkan akses ke port cluster dari internet (0.0.0.0/0 atau: :/0). Kontrol gagal jika aturan masuknya grup keamanan mengizinkan akses ke port cluster dari internet.

Mengizinkan akses masuk yang tidak terbatas ke port cluster Redshift (alamat IP dengan akhiran /0) dapat mengakibatkan akses atau insiden keamanan yang tidak sah. Kami merekomendasikan untuk menerapkan prinsip akses hak istimewa paling rendah saat membuat grup keamanan dan mengonfigurasi aturan masuk.

### Remediasi
<a name="redshift-15-remediation"></a>

Untuk membatasi masuknya port klaster Redshift ke asal terbatas, lihat [Bekerja dengan aturan grup keamanan di](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) Panduan Pengguna Amazon *VPC*. Perbarui aturan di mana rentang port cocok dengan port cluster Redshift dan rentang port IP adalah 0.0.0.0/0.

## [Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
<a name="redshift-16"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol memeriksa apakah grup subnet klaster Amazon Redshift memiliki subnet dari lebih dari satu Availability Zone (AZ). Kontrol gagal jika grup subnet cluster tidak memiliki subnet dari setidaknya dua subnet yang berbeda. AZs

Mengonfigurasi subnet di beberapa AZs bantuan memastikan bahwa gudang data Redshift Anda dapat terus beroperasi bahkan ketika peristiwa kegagalan terjadi.

### Remediasi
<a name="redshift-16-remediation"></a>

*Untuk mengubah grup subnet klaster Redshift menjadi rentang beberapa AZs, lihat [Memodifikasi grup subnet klaster di Panduan Manajemen Pergeseran](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Merah Amazon.*

## [Redshift.17] Grup parameter cluster Redshift harus diberi tag
<a name="redshift-17"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterParameterGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah grup parameter cluster Amazon Redshift memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika grup parameter tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup parameter tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="redshift-17-remediation"></a>

Untuk informasi tentang menambahkan tag ke grup parameter klaster Amazon Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Manajemen *Pergeseran Merah* Amazon.

## [Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
<a name="redshift-18"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah beberapa penerapan Availability Zones (Multi-AZ) diaktifkan untuk klaster Amazon Redshift. Kontrol gagal jika penerapan multi-AZ tidak diaktifkan untuk klaster Amazon Redshift.

Amazon Redshift mendukung beberapa penerapan Availability Zones (Multi-AZ) untuk kluster yang disediakan. Jika penerapan multi-AZ diaktifkan untuk klaster, gudang data Amazon Redshift dapat terus beroperasi dalam skenario kegagalan saat peristiwa tak terduga terjadi di Availability Zone (AZ). Penerapan multi-AZ menyebarkan sumber daya komputasi di lebih dari satu AZ dan sumber daya komputasi ini dapat diakses melalui satu titik akhir. Jika terjadi kegagalan AZ secara keseluruhan, sumber daya komputasi yang tersisa di AZ lain tersedia untuk melanjutkan pemrosesan beban kerja. Anda dapat mengonversi gudang data Single-AZ yang ada ke gudang data multi-AZ. Sumber daya komputasi tambahan kemudian disediakan dalam AZ kedua.

### Remediasi
<a name="redshift-18-remediation"></a>

*Untuk informasi tentang mengonfigurasi penerapan Multi-AZ untuk klaster Amazon Redshift, lihat [Mengonversi gudang data AZ tunggal menjadi gudang data Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) di Panduan Manajemen Pergeseran Merah Amazon.*

# Kontrol CSPM Security Hub untuk Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift Serverless. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan
<a name="redshiftserverless-1"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah perutean VPC yang disempurnakan diaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Kontrol gagal jika perutean VPC yang ditingkatkan dinonaktifkan untuk grup kerja.

Jika perutean VPC yang disempurnakan dinonaktifkan untuk workgroup Amazon Redshift Tanpa Server, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain dalam jaringan. AWS Jika Anda mengaktifkan perutean VPC yang disempurnakan untuk grup kerja, Amazon Redshift memaksa semua `UNLOAD` lalu lintas antara cluster `COPY` dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. Dengan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Ini termasuk fitur seperti grup keamanan VPC dan kebijakan titik akhir, daftar kontrol akses jaringan (ACLs), dan server Sistem Nama Domain (DNS). Anda juga dapat menggunakan log aliran VPC untuk memantau `COPY` dan `UNLOAD` lalu lintas.

### Remediasi
<a name="redshiftserverless-1-remediation"></a>

*Untuk informasi selengkapnya tentang perutean VPC yang disempurnakan dan cara mengaktifkannya untuk grup kerja, lihat [Mengontrol lalu lintas jaringan dengan perutean VPC yang disempurnakan Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) di Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL
<a name="redshiftserverless-2"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke workgroup Amazon Redshift Tanpa Server diperlukan untuk mengenkripsi data dalam perjalanan. Kontrol gagal jika parameter `require_ssl` konfigurasi untuk workgroup diatur ke`false`.

Workgroup Amazon Redshift Tanpa Server adalah kumpulan sumber daya komputasi yang mengelompokkan sumber daya komputasi seperti, grup subnet RPUs VPC, dan grup keamanan. Properti workgroup mencakup pengaturan jaringan dan keamanan. Pengaturan ini menentukan apakah koneksi ke workgroup harus diperlukan untuk menggunakan SSL untuk mengenkripsi data dalam perjalanan.

### Remediasi
<a name="redshiftserverless-2-remediation"></a>

*Untuk informasi tentang memperbarui setelan grup kerja Amazon Redshift Tanpa Server agar memerlukan koneksi SSL, lihat Menyambungkan ke [Amazon Redshift Tanpa Server di Panduan Manajemen Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html).*

## [RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
<a name="redshiftserverless-3"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Ini mengevaluasi `publiclyAccessible` properti grup kerja Redshift Serverless. Kontrol gagal jika akses publik diaktifkan (`true`) untuk workgroup.

Pengaturan public access (`publiclyAccessible`) untuk workgroup Amazon Redshift Serverless menentukan apakah workgroup dapat diakses dari jaringan publik. Jika akses publik diaktifkan (`true`) untuk grup kerja, Amazon Redshift akan membuat alamat IP Elastis yang membuat grup kerja dapat diakses publik dari luar VPC. Jika Anda tidak ingin grup kerja dapat diakses publik, nonaktifkan akses publik untuk itu.

### Remediasi
<a name="redshiftserverless-3-remediation"></a>

*Untuk informasi tentang mengubah setelan akses publik untuk grup kerja Amazon Redshift Tanpa Server, lihat [Melihat properti untuk grup kerja di](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys
<a name="redshiftserverless-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 3 item)  |  1—3 kunci ARNs KMS yang ada. Sebagai contoh: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Di Amazon Redshift Tanpa Server, namespace mendefinisikan wadah logis untuk objek database. Kontrol ini secara berkala memeriksa apakah pengaturan enkripsi untuk namespace menentukan pelanggan yang dikelola AWS KMS key, bukan kunci KMS AWS terkelola, untuk enkripsi data di namespace. Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.

### Remediasi
<a name="redshiftserverless-4-remediation"></a>

*Untuk informasi tentang memperbarui setelan enkripsi untuk namespace Amazon Redshift Tanpa Server dan menentukan pelanggan yang dikelola AWS KMS key, lihat [Mengubah AWS KMS key namespace di](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default
<a name="redshiftserverless-5"></a>

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server adalah nama pengguna admin default. `admin` Kontrol gagal jika nama pengguna admin untuk namespace Redshift Serverless adalah. `admin` 

Saat membuat namespace Amazon Redshift Tanpa Server, Anda harus menentukan nama pengguna admin khusus untuk namespace. Nama pengguna admin default adalah pengetahuan publik. Dengan menentukan nama pengguna admin kustom, Anda dapat, misalnya, membantu mengurangi risiko atau efektivitas serangan brute force terhadap namespace.

### Remediasi
<a name="redshiftserverless-5-remediation"></a>

Anda dapat mengubah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server dengan menggunakan konsol Amazon Redshift Serverless atau API. **Untuk mengubahnya dengan menggunakan konsol, pilih konfigurasi namespace, lalu pilih **Edit kredensi admin** di menu Tindakan.** Untuk mengubahnya secara terprogram, gunakan [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operasi atau, jika Anda menggunakan AWS CLI, jalankan perintah [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Jika Anda mengubah nama pengguna admin, Anda juga harus mengubah kata sandi admin secara bersamaan.

## [RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
<a name="redshiftserverless-6"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dikonfigurasi untuk mengekspor koneksi dan log pengguna ke Amazon Logs. CloudWatch Kontrol gagal jika namespace Redshift Tanpa Server tidak dikonfigurasi untuk mengekspor log ke Log. CloudWatch 

Jika Anda mengonfigurasi Amazon Redshift Tanpa Server untuk mengekspor data log koneksi (`connectionlog`) dan log pengguna (`userlog`) ke grup log di Amazon CloudWatch Logs, Anda dapat mengumpulkan dan menyimpan catatan log Anda dalam penyimpanan tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat melakukan analisis real-time data log dan digunakan CloudWatch untuk membuat alarm dan meninjau metrik.

### Remediasi
<a name="redshiftserverless-6-remediation"></a>

Untuk mengekspor data log untuk namespace Amazon Redshift Tanpa Server ke Amazon CloudWatch Logs, masing-masing log harus dipilih untuk diekspor dalam setelan konfigurasi pencatatan audit untuk namespace. Untuk informasi tentang memperbarui setelan ini, lihat [Mengedit keamanan dan enkripsi](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) di *Panduan Manajemen Amazon Redshift*.

# Kontrol CSPM Security Hub untuk Route 53
<a name="route53-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Route 53.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai
<a name="route53-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Route53::HealthCheck`

**AWS Config aturan:** `tagged-route53-healthcheck` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pemeriksaan kesehatan Amazon Route 53 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pemeriksaan kesehatan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pemeriksaan kesehatan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="route53-1-remediation"></a>

Untuk menambahkan tag ke pemeriksaan kesehatan Route 53, lihat [Penamaan dan penandaan pemeriksaan kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) di *Panduan Pengembang Amazon Route 53*.

## [Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
<a name="route53-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Route53::HostedZone`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan kueri DNS diaktifkan untuk zona host publik Amazon Route 53. Kontrol gagal jika pencatatan kueri DNS tidak diaktifkan untuk zona host publik Route 53.

Mencatat kueri DNS untuk zona yang dihosting Route 53 memenuhi persyaratan keamanan dan kepatuhan DNS dan memberikan visibilitas. Log mencakup informasi seperti domain atau subdomain yang ditanyakan, tanggal dan waktu kueri, jenis catatan DNS (misalnya, A atau AAAA), dan kode respons DNS (misalnya, atau). `NoError` `ServFail` Saat pencatatan kueri DNS diaktifkan, Route 53 menerbitkan file log ke Amazon CloudWatch Logs.

### Remediasi
<a name="route53-2-remediation"></a>

Untuk mencatat kueri DNS untuk zona host publik Route 53, lihat [Mengonfigurasi pencatatan untuk kueri DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) di Panduan Pengembang *Amazon* Route 53.

# Kontrol CSPM Security Hub untuk Amazon S3
<a name="s3-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Storage Service (Amazon S3). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.4, Tolok Ukur Yayasan CIS AWS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4), NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)** 

**Jenis jadwal:** Periodik

**Parameter:** 
+ `ignorePublicAcls`: `true` (tidak dapat disesuaikan)
+ `blockPublicPolicy`: `true` (tidak dapat disesuaikan)
+ `blockPublicAcls`: `true` (tidak dapat disesuaikan)
+ `restrictPublicBuckets`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah setelan akses publik blok Amazon S3 sebelumnya dikonfigurasi pada tingkat akun untuk bucket tujuan umum S3. Kontrol gagal jika satu atau lebih pengaturan akses publik blok diatur ke`false`.

Kontrol gagal jika salah satu pengaturan diatur ke`false`, atau jika salah satu pengaturan tidak dikonfigurasi.

Blok akses publik Amazon S3 dirancang untuk menyediakan kontrol di seluruh Akun AWS atau pada tingkat bucket S3 individual untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 Anda dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level akun.

Untuk mempelajari selengkapnya, lihat [Menggunakan Amazon S3 Blokir Akses Publik](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

### Remediasi
<a name="s3-1-remediation"></a>

Untuk mengaktifkan Amazon S3 Blokir Akses Publik untuk Anda Akun AWS, lihat [Mengonfigurasi setelan blokir akses publik untuk akun Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*.

## [S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
<a name="s3-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)**

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses baca publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses baca publik.

**catatan**  
Jika bucket S3 memiliki kebijakan bucket, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan bucket hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Beberapa kasus penggunaan mungkin mengharuskan semua orang di internet dapat membaca dari bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh dibaca publik.

### Remediasi
<a name="s3-2-remediation"></a>

Untuk memblokir akses baca publik di bucket Amazon S3, lihat [Mengonfigurasi blokir setelan akses publik untuk bucket S3 Anda di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
<a name="s3-3"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)** 

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses tulis publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses tulis publik.

**catatan**  
Jika bucket S3 memiliki kebijakan bucket, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan bucket hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Beberapa kasus penggunaan mengharuskan semua orang di internet dapat menulis ke bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh ditulis secara publik.

### Remediasi
<a name="s3-3-remediation"></a>

Untuk memblokir akses tulis publik di bucket Amazon S3, lihat [Mengonfigurasi setelan blokir akses publik untuk bucket S3 Anda di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL
<a name="s3-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.1, Tolok Ukur Yayasan CIS v3.0.0/2.1.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.2, 7 (2),, (1), 2 (3), 3, 3, 3 (3), (4), (1), (2), NISt.800-53.r5 NIST.800-53.r5 AC-1 SI-7 NIST.800-53.r5 IA-5 (6) NIST.800-53.r5 AC-4, NISt.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NISt.800-171.r2 NIST.800-53.r5 SC-2 3.13.8, Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v3.2.1/4.1, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki kebijakan yang mengharuskan permintaan untuk menggunakan SSL. Kontrol gagal jika kebijakan bucket tidak memerlukan permintaan untuk menggunakan SSL.

Bucket S3 harus memiliki kebijakan yang mengharuskan semua permintaan (`Action: S3:*`) hanya menerima transmisi data melalui HTTPS dalam kebijakan sumber daya S3, yang ditunjukkan oleh kunci kondisi. `aws:SecureTransport`

### Remediasi
<a name="s3-5-remediation"></a>

Untuk memperbarui kebijakan bucket Amazon S3 untuk menolak transportasi yang tidak aman, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Panduan Pengguna Layanan Penyimpanan *Sederhana Amazon*.

Tambahkan pernyataan kebijakan yang mirip dengan yang ada di kebijakan berikut. Ganti `amzn-s3-demo-bucket` dengan nama bucket yang Anda modifikasi.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Untuk informasi selengkapnya, lihat [Kebijakan bucket S3 apa yang harus saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) di *Pusat Pengetahuan AWS Resmi*.

## [S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
<a name="s3-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.13.4

**Kategori:** Lindungi > Manajemen akses aman > Tindakan operasi API sensitif dibatasi 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config**aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan bucket tujuan umum Amazon S3 mencegah prinsipal dari pihak lain Akun AWS melakukan tindakan yang ditolak pada sumber daya di bucket S3. Kontrol gagal jika kebijakan bucket mengizinkan satu atau beberapa tindakan sebelumnya untuk prinsipal di tempat lain. Akun AWS

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan bucket S3 mengizinkan akses dari akun eksternal, hal itu dapat mengakibatkan eksfiltrasi data oleh ancaman orang dalam atau penyerang.

`blacklistedactionpatterns`Parameter ini memungkinkan evaluasi aturan yang berhasil untuk ember S3. Parameter memberikan akses ke akun eksternal untuk pola tindakan yang tidak termasuk dalam `blacklistedactionpatterns` daftar.

### Remediasi
<a name="s3-6-remediation"></a>

Untuk memperbarui kebijakan bucket Amazon S3 guna menghapus izin, lihat. [Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

Pada halaman **Edit kebijakan bucket**, di kotak teks pengeditan kebijakan, lakukan salah satu tindakan berikut:
+ Hapus pernyataan yang memberikan Akun AWS akses lain ke tindakan yang ditolak.
+ Hapus tindakan yang ditolak yang diizinkan dari pernyataan.

## [S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
<a name="s3-7"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 NIST.800-53.r5 SC-5 SI-13 (5)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan replikasi lintas wilayah. Kontrol gagal jika bucket tidak mengaktifkan replikasi lintas wilayah.

Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh ember dalam hal yang sama atau berbeda. Wilayah AWS Replikasi menyalin objek dan pembaruan objek yang baru dibuat dari bucket sumber ke bucket atau bucket tujuan. AWS praktik terbaik merekomendasikan replikasi untuk ember sumber dan tujuan yang dimiliki oleh yang sama. Akun AWS Selain ketersediaan, Anda harus mempertimbangkan pengaturan pengerasan sistem lainnya.

Kontrol ini menghasilkan `FAILED` temuan untuk bucket tujuan replikasi jika replikasi lintas wilayah tidak diaktifkan. Jika ada alasan sah bahwa bucket tujuan tidak memerlukan replikasi lintas wilayah untuk diaktifkan, Anda dapat menekan temuan untuk bucket ini.

### Remediasi
<a name="s3-7-remediation"></a>

Untuk mengaktifkan Replikasi Lintas Wilayah pada bucket S3, lihat [Mengonfigurasi replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun yang sama di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*. Untuk **bucket Source**, pilih **Apply to all objects in the bucket**.

## [S3.8] Bucket tujuan umum S3 harus memblokir akses publik
<a name="s3-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v3.0.02.1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludedPublicBuckets`(tidak dapat disesuaikan) - Daftar terpisah koma dari nama bucket S3 publik yang diizinkan yang diketahui

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memblokir akses publik di tingkat bucket. Kontrol gagal jika salah satu pengaturan berikut diatur ke`false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Blokir Akses Publik pada tingkat bucket S3 menyediakan kontrol untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level bucket.

### Remediasi
<a name="s3-8-remediation"></a>

Untuk informasi tentang cara menghapus akses publik pada tingkat bucket, lihat [Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) Pengguna *Amazon S3*.

## [S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
<a name="s3-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), Nist.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan akses server diaktifkan untuk bucket tujuan umum Amazon S3. Kontrol gagal jika pencatatan akses server tidak diaktifkan. Saat logging diaktifkan, Amazon S3 mengirimkan log akses untuk bucket sumber ke bucket target yang dipilih. Bucket target harus Wilayah AWS sama dengan bucket sumber dan tidak boleh memiliki periode retensi default yang dikonfigurasi. Bucket logging target tidak perlu mengaktifkan logging akses server, dan Anda harus menekan temuan untuk bucket ini. 

Pencatatan akses server menyediakan catatan terperinci tentang permintaan yang dibuat ke ember. Log akses server dapat membantu dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Praktik Terbaik Keamanan untuk Amazon S3: Aktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Remediasi
<a name="s3-9-remediation"></a>

*Untuk mengaktifkan pencatatan akses server Amazon S3, lihat [Mengaktifkan pencatatan akses server Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) Panduan Pengguna Amazon S3.*

## [S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
<a name="s3-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup.

Sebaiknya buat konfigurasi Siklus Hidup untuk bucket S3 untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek. 

### Remediasi
<a name="s3-10-remediation"></a>

[Untuk informasi selengkapnya tentang mengonfigurasi siklus hidup di bucket Amazon S3, lihat [Menyetel konfigurasi siklus hidup pada bucket dan Mengelola siklus hidup](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) penyimpanan Anda.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)

## [S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
<a name="s3-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4), Nist.800-171.R2 3.3.8

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Daftar jenis acara S3 pilihan  |  EnumList (maksimal 28 item)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah Pemberitahuan Peristiwa S3 diaktifkan pada bucket tujuan umum Amazon S3. Kontrol gagal jika Pemberitahuan Acara S3 tidak diaktifkan di bucket. Jika Anda memberikan nilai kustom untuk `eventTypes` parameter, kontrol hanya akan diteruskan jika pemberitahuan peristiwa diaktifkan untuk jenis peristiwa yang ditentukan.

Saat mengaktifkan Pemberitahuan Acara S3, Anda menerima peringatan saat peristiwa tertentu terjadi yang memengaruhi bucket S3 Anda. Misalnya, Anda dapat diberi tahu tentang pembuatan objek, penghapusan objek, dan restorasi objek. Pemberitahuan ini dapat mengingatkan tim terkait untuk modifikasi yang tidak disengaja atau disengaja yang dapat menyebabkan akses data yang tidak sah.

### Remediasi
<a name="s3-11-remediation"></a>

*Untuk informasi tentang mendeteksi perubahan pada bucket dan objek S3, lihat Pemberitahuan [Acara Amazon S3 di Panduan Pengguna Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html).*

## [S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
<a name="s3-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memberikan izin pengguna dengan daftar kontrol akses (ACL). Kontrol gagal jika ACL dikonfigurasi untuk mengelola akses pengguna di bucket.

ACLs adalah mekanisme kontrol akses lama yang mendahului IAM. Sebagai gantinya ACLs, sebaiknya gunakan kebijakan bucket S3 atau kebijakan AWS Identity and Access Management (IAM) untuk mengelola akses ke bucket S3 Anda.

### Remediasi
<a name="s3-12-remediation"></a>

Untuk melewati kontrol ini, Anda harus menonaktifkan ACLs bucket S3 Anda. Untuk petunjuknya, lihat [Mengontrol kepemilikan objek dan menonaktifkan ACLs bucket Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

Untuk membuat kebijakan bucket S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Untuk membuat kebijakan pengguna IAM di bucket S3, lihat [Mengontrol akses ke bucket dengan kebijakan pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
<a name="s3-13"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Lindungi > Perlindungan data 

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Jumlah hari setelah pembuatan objek ketika objek dialihkan ke kelas penyimpanan tertentu  |  Bilangan Bulat  |  `1` untuk `36500`  |  Tidak ada nilai default  | 
|  `targetExpirationDays`  |  Jumlah hari setelah pembuatan objek saat objek dihapus  |  Bilangan Bulat  |  `1` untuk `36500`  |  Tidak ada nilai default  | 
|  `targetTransitionStorageClass`  |  Jenis kelas penyimpanan S3 tujuan  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup. Jika Anda memberikan nilai kustom untuk satu atau beberapa parameter sebelumnya, kontrol hanya akan diteruskan jika kebijakan menyertakan kelas penyimpanan, waktu penghapusan, atau waktu transisi yang ditentukan. 

Membuat konfigurasi Siklus Hidup untuk bucket S3 menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek. Misalnya, Anda dapat mentransisikan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu.

### Remediasi
<a name="s3-13-remediation"></a>

*Untuk informasi tentang mengonfigurasi kebijakan siklus hidup di bucket Amazon S3, lihat [Menyetel konfigurasi siklus hidup di bucket dan lihat [Mengelola siklus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) hidup penyimpanan di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) Panduan Pengguna Amazon S3.*

## [S3.14] Bucket tujuan umum S3 harus mengaktifkan versi
<a name="s3-14"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Persyaratan terkait:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5), Nist.800-171.R2 3.3.8

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan versi. Kontrol gagal jika pembuatan versi ditangguhkan untuk bucket.

Pembuatan versi menyimpan beberapa varian objek dalam bucket S3 yang sama. Anda dapat menggunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan versi sebelumnya dari objek yang disimpan di bucket S3 Anda. Pembuatan versi membantu Anda pulih dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.

**Tip**  
Karena jumlah objek bertambah dalam bucket karena pembuatan versi, Anda dapat mengatur konfigurasi Siklus Hidup untuk mengarsipkan atau menghapus objek berversi secara otomatis berdasarkan aturan. Untuk informasi selengkapnya, lihat [Manajemen Siklus Hidup Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/) untuk Objek Berversi.

### Remediasi
<a name="s3-14-remediation"></a>

*Untuk menggunakan pembuatan versi pada bucket S3, lihat [Mengaktifkan pembuatan versi pada bucket di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) Amazon S3.*

## [S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock
<a name="s3-15"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Persyaratan terkait:** Nist.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Mode retensi Kunci Objek S3  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan Object Lock. Kontrol gagal jika Object Lock tidak diaktifkan untuk bucket. Jika Anda memberikan nilai kustom untuk `mode` parameter, kontrol hanya akan diteruskan jika S3 Object Lock menggunakan mode retensi yang ditentukan.

Anda dapat menggunakan S3 Object Lock untuk menyimpan objek menggunakan model write-once-read-many (WORM). Object Lock dapat membantu mencegah objek di bucket S3 dihapus atau ditimpa untuk jangka waktu tertentu atau tanpa batas waktu. Anda dapat menggunakan S3 Object Lock untuk memenuhi persyaratan peraturan yang memerlukan penyimpanan WORM, atau menambahkan lapisan perlindungan tambahan terhadap perubahan dan penghapusan objek.

### Remediasi
<a name="s3-15-remediation"></a>

*Untuk mengonfigurasi Object Lock untuk bucket S3 baru dan yang sudah ada, lihat [Mengonfigurasi Kunci Objek S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) Amazon S3.* 

## [S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
<a name="s3-17"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), Nist.800-53.r5 NIST.800-53.r5 SC-2 AU-9, Nist.800-171.r2 3.8.9, Nist.800-171.r2 3.13.11, Nist.800-171.r2 3.13.16, PCI DCI SS v4.0.1/3.5.1 NIST.800-53.r5 CA-9

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 dienkripsi dengan (SSE-KMS atau AWS KMS key DSSE-KMS). Kontrol gagal jika bucket dienkripsi dengan enkripsi default (SSE-S3).

Server-side encryption (SSE) adalah enkripsi data di tujuannya oleh aplikasi atau layanan yang menerimanya. Kecuali Anda menentukan sebaliknya, bucket S3 menggunakan kunci terkelola Amazon S3 (SSE-S3) secara default untuk enkripsi sisi server. Namun, untuk kontrol tambahan, Anda dapat memilih untuk mengonfigurasi bucket untuk menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS atau DSSE-KMS) sebagai gantinya. Amazon S3 mengenkripsi data Anda pada tingkat objek saat menulisnya ke disk di pusat AWS data dan mendekripsi untuk Anda saat Anda mengaksesnya.

### Remediasi
<a name="s3-17-remediation"></a>

*Untuk mengenkripsi bucket S3 menggunakan SSE-KMS, lihat [Menentukan enkripsi sisi server dengan (SSE-KMS) di Panduan Pengguna Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html).* *Untuk mengenkripsi bucket S3 menggunakan DSSE-KMS, lihat [Menentukan enkripsi sisi server dua lapis dengan ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) di Panduan Pengguna Amazon S3.*

## [S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal jika blokir pengaturan akses publik tidak diaktifkan untuk titik akses.

Fitur Akses Publik Blok Amazon S3 membantu Anda mengelola akses ke sumber daya S3 di tiga tingkatan: tingkat akun, bucket, dan titik akses. Pengaturan di setiap level dapat dikonfigurasi secara independen, memungkinkan Anda memiliki tingkat pembatasan akses publik yang berbeda untuk data Anda. Pengaturan titik akses tidak dapat secara individual mengganti pengaturan yang lebih ketat di tingkat yang lebih tinggi (tingkat akun atau bucket yang ditetapkan ke titik akses). Sebaliknya, pengaturan pada tingkat titik akses bersifat aditif, yang berarti mereka melengkapi dan bekerja bersama pengaturan di tingkat lain. Kecuali jika Anda bermaksud jalur akses S3 dapat diakses publik, Anda harus mengaktifkan blokir pengaturan akses publik.

### Remediasi
<a name="s3-19-remediation"></a>

Saat ini, Amazon S3 tidak mendukung perubahan pengaturan akses publik blokir titik akses setelah titik akses dibuat. Semua pengaturan akses publik blok diaktifkan secara default saat Anda membuat titik akses baru. Kami menyarankan Anda tetap mengaktifkan semua pengaturan kecuali Anda tahu bahwa Anda memiliki kebutuhan khusus untuk menonaktifkan salah satu pengaturan tersebut. Untuk informasi selengkapnya, lihat [Mengelola akses publik ke titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

## [S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
<a name="s3-20"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.2, Tolok Ukur Yayasan CIS v3.0.0/2.1.2, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penghapusan autentikasi multi-faktor (MFA) diaktifkan untuk bucket tujuan umum Amazon S3. Kontrol gagal jika penghapusan MFA tidak diaktifkan untuk bucket. Kontrol tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi siklus hidup.

Jika Anda mengaktifkan pembuatan versi untuk bucket tujuan umum S3, Anda dapat menambahkan lapisan keamanan lain secara opsional dengan mengonfigurasi penghapusan MFA untuk bucket. Jika Anda melakukan ini, pemilik bucket harus menyertakan dua bentuk otentikasi dalam permintaan apa pun untuk menghapus versi objek di bucket atau mengubah status pembuatan versi bucket. MFA delete memberikan keamanan tambahan jika, misalnya, kredensi keamanan pemilik bucket dikompromikan. Penghapusan MFA juga dapat membantu mencegah penghapusan bucket yang tidak disengaja dengan mengharuskan pengguna yang memulai tindakan penghapusan untuk membuktikan kepemilikan fisik perangkat MFA dengan kode MFA, yang menambahkan lapisan gesekan dan keamanan ekstra pada tindakan penghapusan.

**catatan**  
Kontrol ini menghasilkan `PASSED` temuan hanya jika penghapusan MFA diaktifkan untuk bucket tujuan umum S3. Untuk mengaktifkan penghapusan MFA untuk bucket, pembuatan versi juga harus diaktifkan untuk bucket. Bucket versioning adalah metode menyimpan beberapa variasi objek S3 dalam bucket yang sama. Selain itu, hanya pemilik bucket yang masuk sebagai pengguna root yang dapat mengaktifkan penghapusan MFA dan melakukan tindakan penghapusan pada bucket. Anda tidak dapat menggunakan penghapusan MFA dengan bucket yang memiliki konfigurasi siklus hidup.

### Remediasi
<a name="s3-20-remediation"></a>

*Untuk informasi tentang mengaktifkan versi dan mengonfigurasi penghapusan MFA untuk bucket S3, lihat Mengonfigurasi penghapusan [MFA di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) Layanan Penyimpanan Sederhana Amazon.*

## [S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
<a name="s3-22"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.8, Tolok Ukur Yayasan CIS v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data tulis untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data tulis untuk bucket S3.

Operasi tingkat objek S3, seperti,`GetObject`, dan `DeleteObject``PutObject`, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data tulis, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan `PASSED` temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat hanya penulisan atau semua jenis peristiwa data untuk semua bucket S3.

### Remediasi
<a name="s3-22-remediation"></a>

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) di Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
<a name="s3-23"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.9, Tolok Ukur Yayasan CIS v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data baca untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data baca untuk bucket S3.

Operasi tingkat objek S3, seperti,`GetObject`, dan `DeleteObject``PutObject`, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data baca, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan `PASSED` temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat read-only atau semua jenis peristiwa data untuk semua bucket S3.

### Remediasi
<a name="s3-23-remediation"></a>

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) di Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-24"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config aturan:** `s3-mrap-public-access-blocked` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Titik Akses Multi-Wilayah Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal ketika Titik Akses Multi-Wilayah tidak mengaktifkan pengaturan akses publik blok.

Sumber daya yang dapat diakses publik dapat menyebabkan akses yang tidak sah, pelanggaran data, atau eksploitasi kerentanan. Membatasi akses melalui tindakan otentikasi dan otorisasi membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

### Remediasi
<a name="s3-24-remediation"></a>

Secara default, semua pengaturan Blokir Akses Publik diaktifkan untuk Titik Akses Multi-Wilayah S3. Untuk informasi selengkapnya, lihat [Memblokir akses publik dengan Titik Akses Multi-Wilayah Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*. Anda tidak dapat mengubah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah setelah dibuat.

## [S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
<a name="s3-25"></a>

**Kategori:** Lindungi > Perlindungan Data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3Express::DirectoryBucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  Jumlah hari, setelah pembuatan objek, ketika objek harus kedaluwarsa.  |  Bilangan Bulat  |  `1` untuk `2147483647`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah aturan siklus hidup dikonfigurasi untuk bucket direktori S3. Kontrol gagal jika aturan siklus hidup tidak dikonfigurasi untuk bucket direktori, atau aturan siklus hidup untuk bucket menentukan setelan kedaluwarsa yang tidak cocok dengan nilai parameter yang Anda tentukan secara opsional.

Di Amazon S3, konfigurasi siklus hidup adalah seperangkat aturan yang menentukan tindakan untuk Amazon S3 untuk diterapkan ke grup objek dalam bucket. Untuk bucket direktori S3, Anda dapat membuat aturan siklus hidup yang menentukan kapan objek kedaluwarsa berdasarkan usia (dalam hari). Anda juga dapat membuat aturan siklus hidup yang menghapus unggahan multibagian yang tidak lengkap. Tidak seperti jenis bucket S3 lainnya, seperti bucket tujuan umum, bucket direktori tidak mendukung jenis tindakan lain untuk aturan siklus hidup, seperti transisi objek antar kelas penyimpanan.

### Remediasi
<a name="s3-25-remediation"></a>

Untuk menentukan konfigurasi siklus hidup bucket direktori S3, buat aturan siklus hidup untuk bucket. Untuk informasi selengkapnya, lihat [Membuat dan mengelola konfigurasi siklus hidup untuk bucket direktori Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

# Kontrol CSPM Security Hub untuk AI SageMaker
<a name="sagemaker-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon SageMaker AI. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
<a name="sagemaker-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker AI. Kontrol gagal jika `DirectInternetAccess` bidang diaktifkan untuk instance notebook. 

Jika Anda mengonfigurasi instans SageMaker AI tanpa VPC, maka secara default akses internet langsung diaktifkan pada instans Anda. Anda harus mengonfigurasi instans Anda dengan VPC dan mengubah pengaturan default menjadi **Nonaktifkan —** Akses internet melalui VPC. Untuk melatih atau meng-host model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, VPC Anda harus memiliki antarmuka endpoint (AWS PrivateLink) atau gateway NAT dan grup keamanan yang memungkinkan koneksi keluar. Untuk mempelajari lebih lanjut tentang cara menghubungkan instans notebook ke sumber daya di VPC, lihat [Menyambungkan instans notebook ke sumber daya di VPC di](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Panduan Pengembang *Amazon SageMaker * AI. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker AI Anda terbatas hanya untuk pengguna yang berwenang. Batasi izin IAM yang memungkinkan pengguna mengubah pengaturan dan sumber daya SageMaker AI.

### Remediasi
<a name="sagemaker-1-remediation"></a>

Anda tidak dapat mengubah setelan akses internet setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance dengan akses internet yang diblokir. Untuk menghapus instance notebook yang mengizinkan akses internet langsung, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) *Pengembang Amazon SageMaker AI*. Untuk membuat ulang instance notebook yang menolak akses internet, lihat [Membuat instance notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Untuk **Jaringan, akses internet langsung**, pilih **Nonaktifkan — Akses internet melalui VPC**.

## [SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
<a name="sagemaker-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI diluncurkan dalam cloud pribadi virtual kustom (VPC). Kontrol ini gagal jika instance notebook SageMaker AI tidak diluncurkan dalam VPC khusus atau jika diluncurkan di VPC layanan SageMaker AI.

Subnet adalah berbagai alamat IP dalam VPC. Sebaiknya simpan sumber daya Anda di dalam VPC kustom bila memungkinkan untuk memastikan perlindungan jaringan yang aman dari infrastruktur Anda. VPC Amazon adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS Dengan Amazon VPC, Anda dapat mengontrol akses jaringan dan konektivitas internet SageMaker AI Studio dan instance notebook Anda.

### Remediasi
<a name="sagemaker-2-remediation"></a>

Anda tidak dapat mengubah pengaturan VPC setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance. Untuk petunjuknya, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) di *Panduan Pengembang Amazon SageMaker AI*.

## [SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
<a name="sagemaker-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses root diaktifkan untuk instance notebook Amazon SageMaker AI. Kontrol gagal jika akses root diaktifkan untuk instance notebook SageMaker AI.

Sesuai dengan prinsip hak istimewa terkecil, ini adalah praktik terbaik keamanan yang disarankan untuk membatasi akses root ke sumber daya instans untuk menghindari izin penyediaan secara tidak sengaja.

### Remediasi
<a name="sagemaker-3-remediation"></a>

Untuk membatasi akses root ke instance notebook SageMaker AI, lihat [Kontrol akses root ke instans notebook SageMaker AI di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) *Pengembang Amazon SageMaker AI*.

## [SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1
<a name="sagemaker-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::EndpointConfig`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah varian produksi titik akhir Amazon SageMaker AI memiliki jumlah instans awal lebih besar dari 1. Kontrol gagal jika varian produksi titik akhir hanya memiliki 1 instance awal.

Varian produksi yang berjalan dengan jumlah instans lebih dari 1 memungkinkan redundansi instans multi-AZ yang dikelola oleh AI. SageMaker Menyebarkan sumber daya di beberapa Availability Zone adalah praktik AWS terbaik untuk menyediakan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan tinggi membantu Anda pulih dari insiden keamanan.

**catatan**  
Kontrol ini hanya berlaku untuk konfigurasi endpoint berbasis instance.

### Remediasi
<a name="sagemaker-4-remediation"></a>

Untuk informasi selengkapnya tentang parameter konfigurasi titik akhir, lihat [Membuat konfigurasi titik akhir di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) *Pengembang Amazon SageMaker AI*.

## [SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
<a name="sagemaker-5"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::Model`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah model yang dihosting Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika `EnableNetworkIsolation` parameter untuk model yang dihosting disetel ke`False`.

SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan. Jika Anda mengaktifkan isolasi jaringan, tidak ada panggilan jaringan masuk atau keluar yang dapat dilakukan ke atau dari wadah model, termasuk panggilan ke atau dari yang lain. Layanan AWS Selain itu, tidak ada AWS kredenal yang tersedia untuk lingkungan runtime container. Mengaktifkan isolasi jaringan membantu mencegah akses yang tidak diinginkan ke sumber daya SageMaker AI Anda dari internet.

**catatan**  
Pada 13 Agustus 2025, Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih akurat mencerminkan bahwa kontrol memeriksa pengaturan untuk `EnableNetworkIsolation` parameter model yang dihosting Amazon SageMaker AI. Sebelumnya, judul kontrol ini adalah: *SageMaker models should block inbound traffic*.

### Remediasi
<a name="sagemaker-5-remediation"></a>

Untuk informasi selengkapnya tentang isolasi jaringan untuk model SageMaker AI, lihat [Menjalankan pelatihan dan wadah inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat model, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.

## [SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
<a name="sagemaker-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SageMaker::AppImageConfig`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`) memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya akan memeriksa keberadaan kunci tag dan gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="sagemaker-6-remediation"></a>

Untuk menambahkan tag ke konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`), Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker gambar harus diberi tag
<a name="sagemaker-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SageMaker::Image`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah gambar Amazon SageMaker AI memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika gambar tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gambar tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="sagemaker-7-remediation"></a>

Untuk menambahkan tag ke image Amazon SageMaker AI, Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
<a name="sagemaker-8"></a>

**Kategori:** Deteksi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI dikonfigurasi untuk berjalan pada platform yang didukung, berdasarkan pengenal platform yang ditentukan untuk instance notebook. Kontrol gagal jika instance notebook dikonfigurasi untuk berjalan pada platform yang tidak lagi didukung.

Jika platform untuk instans notebook Amazon SageMaker AI tidak lagi didukung, platform tersebut mungkin tidak menerima patch keamanan, perbaikan bug, atau jenis pembaruan lainnya. Instans notebook mungkin terus berfungsi, tetapi mereka tidak akan menerima pembaruan keamanan SageMaker AI atau perbaikan bug penting. Anda menanggung risiko yang terkait dengan penggunaan platform yang tidak didukung. Untuk informasi selengkapnya, lihat [JupyterLabpembuatan versi](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) di Panduan *Pengembang Amazon SageMaker AI*.

### Remediasi
<a name="sagemaker-8-remediation"></a>

Untuk informasi tentang platform yang didukung Amazon SageMaker AI saat ini dan cara bermigrasi ke platform tersebut, lihat [Instans notebook Amazon Linux 2 di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Pengembang Amazon SageMaker AI*.

## [SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-9"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan kualitas data SageMaker AI Amazon telah mengaktifkan enkripsi untuk lalu lintas antar kontainer. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan tidak mengaktifkan enkripsi untuk lalu lintas antar kontainer.

Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML sensitif selama pemrosesan terdistribusi untuk analisis kualitas data. 

### Remediasi
<a name="sagemaker-9-remediation"></a>

Untuk informasi selengkapnya tentang enkripsi lalu lintas antar-kontainer untuk Amazon SageMaker AI, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan enkripsi lalu lintas antar kontainer dengan menyetel nilai untuk `EnableInterContainerTrafficEncryption` parameter tersebut. `True`

## [SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-10"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan penjelasan SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan penjelasan model tidak mengaktifkan enkripsi lalu lintas antar kontainer.

Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML yang sensitif seperti data model, kumpulan data pelatihan, hasil pemrosesan menengah, parameter, dan bobot model selama pemrosesan terdistribusi untuk analisis penjelasan. 

### Remediasi
<a name="sagemaker-10-remediation"></a>

Untuk definisi pekerjaan penjelasan SageMaker model yang ada, enkripsi lalu lintas antar kontainer tidak dapat diperbarui di tempat. Untuk membuat definisi pekerjaan penjelasan SageMaker model baru dengan enkripsi lalu lintas antar kontainer diaktifkan, gunakan API [atau [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) atau](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) dan atur ke. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
<a name="sagemaker-11"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan pemantauan kualitas data Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan memiliki isolasi jaringan dinonaktifkan.

Isolasi jaringan mengurangi serangan. permukaan dan mencegah akses eksternal sehingga melindungi terhadap akses eksternal yang tidak sah, paparan data yang tidak disengaja dan potensi eksfiltrasi data. 

### Remediasi
<a name="sagemaker-11-remediation"></a>

Untuk informasi selengkapnya tentang isolasi jaringan untuk SageMaker AI, lihat [Menjalankan wadah pelatihan dan inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.

## [SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
<a name="sagemaker-12"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi kebijakan sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model mengaktifkan isolasi jaringan. Kontrol gagal jika definisi pekerjaan bias model tidak mengaktifkan isolasi jaringan.

Isolasi jaringan mencegah pekerjaan bias SageMaker model berkomunikasi dengan sumber daya eksternal melalui internet. Dengan mengaktifkan isolasi jaringan, Anda memastikan bahwa wadah pekerjaan tidak dapat membuat koneksi keluar, mengurangi permukaan serangan dan melindungi data sensitif dari eksfiltrasi. Ini sangat penting untuk pekerjaan yang memproses data yang diatur atau sensitif.

### Remediasi
<a name="sagemaker-12-remediation"></a>

Untuk mengaktifkan isolasi jaringan, Anda harus membuat definisi pekerjaan bias model baru dengan `EnableNetworkIsolation` parameter yang disetel ke`True`. Isolasi jaringan tidak dapat dimodifikasi setelah pembuatan definisi pekerjaan. Untuk membuat definisi pekerjaan bias model baru, lihat [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*. 

## [SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-13"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan kualitas SageMaker model Amazon mengaktifkan enkripsi saat transit untuk lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan kualitas model tidak mengaktifkan enkripsi lalu lintas antar kontainer.

Enkripsi lalu lintas antar kontainer melindungi data yang dikirimkan antar kontainer selama pekerjaan pemantauan kualitas model terdistribusi. Secara default, lalu lintas antar kontainer tidak dienkripsi. Mengaktifkan enkripsi membantu menjaga kerahasiaan data selama pemrosesan dan mendukung kepatuhan terhadap persyaratan peraturan untuk data dalam perlindungan transit.

### Remediasi
<a name="sagemaker-13-remediation"></a>

Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan kualitas SageMaker model Amazon Anda, Anda harus membuat ulang definisi pekerjaan dengan konfigurasi enkripsi dalam perjalanan yang sesuai. Untuk membuat definisi pekerjaan kualitas model, lihat [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*. 

## [SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
<a name="sagemaker-14"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::MonitoringSchedule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jadwal SageMaker pemantauan Amazon mengaktifkan isolasi jaringan. Kontrol gagal jika jadwal pemantauan telah EnableNetworkIsolation disetel ke false atau tidak dikonfigurasi

Isolasi jaringan mencegah pekerjaan pemantauan dari membuat panggilan jaringan keluar, mengurangi permukaan serangan dengan menghilangkan akses internet dari kontainer.

### Remediasi
<a name="sagemaker-14-remediation"></a>

Untuk informasi tentang mengonfigurasi isolasi jaringan dalam NetworkConfig parameter saat membuat atau memperbarui jadwal pemantauan, lihat [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)atau [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)di *Panduan Pengembang Amazon SageMaker AI*.

## [SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-15"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer saat menggunakan beberapa instance komputasi. Kontrol gagal jika `EnableInterContainerTrafficEncryption` disetel ke false atau tidak dikonfigurasi untuk definisi pekerjaan dengan jumlah instance 2 atau lebih besar.

EInter-enkripsi lalu lintas kontainer melindungi data yang dikirimkan antara instance komputasi selama pekerjaan pemantauan bias model terdistribusi. Enkripsi mencegah akses tidak sah ke informasi terkait model seperti bobot yang dikirimkan antar instance.

### Remediasi
<a name="sagemaker-15-remediation"></a>

Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan bias SageMaker model, setel `EnableInterContainerTrafficEncryption` parameter ke `True` saat definisi pekerjaan menggunakan beberapa instance komputasi. Untuk informasi tentang melindungi komunikasi antar instans komputasi ML, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI. 

# Kontrol CSPM Security Hub untuk Secrets Manager
<a name="secretsmanager-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Secrets Manager layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
<a name="secretsmanager-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Jumlah hari maksimum yang diizinkan untuk frekuensi rotasi rahasia  |  Bilangan Bulat  |  `1` untuk `365`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rahasia yang disimpan AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol gagal jika rahasia tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai khusus untuk `maximumAllowedRotationFrequency` parameter, kontrol hanya akan berlalu jika rahasia diputar secara otomatis dalam jendela waktu yang ditentukan.

Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.

Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.

### Remediasi
<a name="secretsmanager-1-remediation"></a>

Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.

## [SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar
<a name="secretsmanager-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika `RotationOccurringAsScheduled` ada`false`. Kontrol hanya mengevaluasi rahasia yang telah dihidupkan rotasi.

Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.

Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda.

Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi.

Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.

### Remediasi
<a name="secretsmanager-2-remediation"></a>

Jika rotasi otomatis gagal, maka Secrets Manager mungkin mengalami kesalahan dengan konfigurasi. Untuk memutar rahasia di Secrets Manager, Anda menggunakan fungsi Lambda yang mendefinisikan cara berinteraksi dengan database atau layanan yang memiliki rahasia.

*Untuk bantuan mendiagnosis dan memperbaiki kesalahan umum yang terkait dengan rotasi rahasia, lihat [Memecahkan masalah AWS Secrets Manager rotasi rahasia di Panduan](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) Pengguna.AWS Secrets Manager *

## [SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
<a name="secretsmanager-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Jumlah hari maksimum yang rahasia dapat tetap tidak digunakan  |  Bilangan Bulat  |  `1` untuk `365`  |  `90`  | 

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia telah diakses dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak digunakan di luar kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode akses, Security Hub CSPM menggunakan nilai default 90 hari.

Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan pengguna mereka, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak sah, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Secrets Manager. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.

### Remediasi
<a name="secretsmanager-3-remediation"></a>

Untuk menghapus rahasia Secrets Manager yang tidak aktif, lihat [Menghapus AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) di *Panduan AWS Secrets Manager Pengguna*.

## [SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
<a name="secretsmanager-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Jumlah hari maksimum yang rahasia dapat tetap tidak berubah  |  Bilangan Bulat  |  `1` untuk `180`  |  `90`  | 

Kontrol ini memeriksa apakah sebuah AWS Secrets Manager rahasia diputar setidaknya sekali dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak diputar setidaknya ini sering. Kecuali Anda memberikan nilai parameter khusus untuk periode rotasi, Security Hub CSPM menggunakan nilai default 90 hari.

Rahasia berputar dapat membantu Anda mengurangi risiko penggunaan rahasia Anda yang tidak sah dalam diri Anda. Akun AWS Contohnya termasuk kredensi basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasianya lebih mungkin dikompromikan.

Karena semakin banyak pengguna mendapatkan akses ke rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak sah. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar.

Anda dapat mengonfigurasi rotasi otomatis untuk rahasia di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, secara signifikan mengurangi risiko kompromi. Kami menyarankan Anda mengonfigurasi rotasi otomatis untuk rahasia Secrets Manager Anda. Untuk informasi selengkapnya, lihat [Memutar rahasia AWS Secrets Manager Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan Pengguna AWS Secrets Manager *. 

### Remediasi
<a name="secretsmanager-4-remediation"></a>

Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.

## [SecretsManager.5] Rahasia Secrets Manager harus ditandai
<a name="secretsmanager-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan:** `tagged-secretsmanager-secret` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika rahasia tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rahasia tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="secretsmanager-5-remediation"></a>

Untuk menambahkan tag ke rahasia Secrets Manager, lihat [Menandai AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Service Catalog
<a name="servicecatalog-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Service Catalog layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS
<a name="servicecatalog-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ServiceCatalog::Portfolio`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Service Catalog berbagi portofolio dalam organisasi saat integrasi dengan AWS Organizations diaktifkan. Kontrol gagal jika portofolio tidak dibagikan dalam suatu organisasi.

Berbagi portofolio hanya dalam Organizations membantu memastikan bahwa portofolio tidak dibagikan dengan salah Akun AWS. Untuk berbagi portofolio Service Catalog dengan akun di suatu organisasi, Security Hub CSPM merekomendasikan penggunaan `ORGANIZATION_MEMBER_ACCOUNT` sebagai gantinya. `ACCOUNT` Ini menyederhanakan administrasi dengan mengatur akses yang diberikan ke akun di seluruh organisasi. [Jika Anda memiliki kebutuhan bisnis untuk berbagi portofolio Service Catalog dengan akun eksternal, Anda dapat [secara otomatis menekan temuan](automation-rules.md) dari kontrol ini atau menonaktifkannya.](disable-controls-overview.md)

### Remediasi
<a name="servicecatalog-1-remediation"></a>

Untuk mengaktifkan berbagi portofolio dengan AWS Organizations, lihat [Berbagi dengan AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) di *Panduan AWS Service Catalog Administrator*.

# Kontrol CSPM Security Hub untuk Amazon SES
<a name="ses-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Email Service (Amazon SES).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] Daftar kontak SES harus ditandai
<a name="ses-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SES::ContactList`

**AWS Config aturan:** `tagged-ses-contactlist` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah daftar kontak Amazon SES memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika daftar kontak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika daftar kontak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ses-1-remediation"></a>

Untuk menambahkan tag ke daftar kontak Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.

## [SES.2] Set konfigurasi SES harus ditandai
<a name="ses-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SES::ConfigurationSet`

**AWS Config aturan:** `tagged-ses-configurationset` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah set konfigurasi Amazon SES memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika set konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika set konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ses-2-remediation"></a>

Untuk menambahkan tag ke set konfigurasi Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.

## [SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
<a name="ses-3"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SES::ConfigurationSet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah set konfigurasi Amazon SES memerlukan koneksi TLS. Kontrol gagal jika Kebijakan TLS tidak disetel ke `'REQUIRE'` set konfigurasi.

Secara default, Amazon SES menggunakan TLS oportunistik, yang berarti email dapat dikirim tanpa enkripsi jika koneksi TLS tidak dapat dibuat dengan server email penerima. Menegakkan TLS untuk pengiriman email memastikan bahwa pesan hanya terkirim ketika koneksi terenkripsi yang aman dapat dibuat. Ini membantu melindungi kerahasiaan dan integritas konten email selama transmisi antara Amazon SES dan server email penerima. Jika koneksi TLS aman tidak dapat dibuat, pesan tidak akan dikirimkan, mencegah potensi paparan informasi sensitif.

**catatan**  
Meskipun TLS 1.3 adalah metode pengiriman default untuk Amazon SES, tanpa menerapkan persyaratan TLS melalui set konfigurasi, pesan berpotensi dikirimkan dalam teks biasa jika koneksi TLS gagal. Untuk meneruskan kontrol ini, Anda harus mengonfigurasi Kebijakan TLS ke `'REQUIRE'` dalam opsi pengiriman set konfigurasi SES Anda. Ketika TLS diperlukan, pesan hanya dikirim jika koneksi TLS dapat dibuat dengan server email penerima.

### Remediasi
<a name="ses-3-remediation"></a>

Untuk mengonfigurasi Amazon SES agar memerlukan koneksi TLS untuk set konfigurasi, lihat [Amazon SES dan protokol keamanan](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) di Panduan Pengembang *Amazon SES.*

# Kontrol CSPM Security Hub untuk Amazon SNS
<a name="sns-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Notification Service (Amazon SNS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS
<a name="sns-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26), Nist.800-171.r2 3.13.11, Nist.800-171.r2 3.13.16

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah topik Amazon SNS dienkripsi saat istirahat menggunakan kunci yang dikelola di (). AWS Key Management Service AWS KMS Kontrol gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE). Secara default, SNS menyimpan pesan dan file menggunakan enkripsi disk. Untuk melewati kontrol ini, Anda harus memilih untuk menggunakan kunci KMS untuk enkripsi sebagai gantinya. Ini menambahkan lapisan keamanan tambahan dan memberikan lebih banyak fleksibilitas kontrol akses.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Kami merekomendasikan mengenkripsi topik SNS dengan kunci KMS untuk lapisan keamanan tambahan.

### Remediasi
<a name="sns-1-remediation"></a>

*Untuk mengaktifkan SSE untuk topik SNS, lihat [Mengaktifkan enkripsi sisi server (SSE) untuk topik Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html).* Sebelum Anda dapat menggunakan SSE, Anda juga harus mengonfigurasi AWS KMS key kebijakan untuk mengizinkan enkripsi topik dan enkripsi dan dekripsi pesan. Untuk informasi selengkapnya, lihat [Mengonfigurasi AWS KMS izin di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) *Pengembang Layanan Pemberitahuan Sederhana Amazon*.

## [SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik
<a name="sns-2"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** Nist.800-53.r5 AU-12, Nist.800-53.r5 AU-2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan diaktifkan untuk status pengiriman pesan notifikasi yang dikirim ke topik Amazon SNS untuk titik akhir. Kontrol ini gagal jika pemberitahuan status pengiriman pesan tidak diaktifkan.

Logging adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja layanan. Mencatat status pengiriman pesan membantu memberikan wawasan operasional, seperti berikut ini:
+ Mengetahui apakah pesan dikirim ke titik akhir Amazon SNS.
+ Mengidentifikasi respon yang dikirim dari titik akhir Amazon SNS ke Amazon SNS.
+ Menentukan waktu tinggal pesan (waktu antara stempel waktu publikasi dan penyerahan ke titik akhir Amazon SNS).

### Remediasi
<a name="sns-2-remediation"></a>

Untuk mengonfigurasi pencatatan status pengiriman untuk suatu topik, lihat [Status pengiriman pesan Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) *Pengembang Layanan Pemberitahuan Sederhana Amazon*.

## [SNS.3] Topik SNS harus ditandai
<a name="sns-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan:** `tagged-sns-topic` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah topik Amazon SNS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika topik tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika topik tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="sns-3-remediation"></a>

Untuk menambahkan tag ke topik SNS, lihat [Mengonfigurasi tag topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) di Panduan Pengembang Layanan *Pemberitahuan Sederhana Amazon*.

## [SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
<a name="sns-4"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan akses topik Amazon SNS memungkinkan akses publik. Kontrol ini gagal jika kebijakan akses topik SNS mengizinkan akses publik.

Anda menggunakan kebijakan akses Amazon SNS dengan topik tertentu untuk membatasi siapa yang dapat bekerja dengan topik tersebut (misalnya, siapa yang dapat mempublikasikan pesan ke topik tersebut atau siapa yang dapat berlangganan). Kebijakan SNS dapat memberikan akses ke orang lain Akun AWS, atau ke pengguna di dalam milik Akun AWS Anda. Menyediakan wildcard (\$1) di `Principal` bidang kebijakan topik dan kurangnya kondisi untuk membatasi kebijakan topik dapat mengakibatkan eksfiltrasi data, penolakan layanan, atau injeksi pesan yang tidak diinginkan ke layanan Anda oleh penyerang.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan akses Amazon SNS untuk suatu topik hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak berisi karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="sns-4-remediation"></a>

Untuk memperbarui kebijakan akses untuk topik SNS, lihat [Ikhtisar mengelola akses di Amazon SNS di](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) Panduan Pengembang *Layanan Pemberitahuan Sederhana Amazon*.

# Kontrol CSPM Security Hub untuk Amazon SQS
<a name="sqs-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Queue Service (Amazon SQS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat
<a name="sqs-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan:** `sqs-queue-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah antrian Amazon SQS dienkripsi saat istirahat. Kontrol gagal jika antrian tidak dienkripsi dengan kunci yang dikelola SQS (SSE-SQS) atau kunci () (SSE-KMS). AWS Key Management Service AWS KMS

Mengenkripsi data saat istirahat mengurangi risiko pengguna yang tidak sah mengakses data yang disimpan di disk. Enkripsi sisi server (SSE) melindungi isi pesan dalam antrian SQS menggunakan kunci enkripsi yang dikelola SQS (SSE-SQS) atau kunci (SSE-KMS). AWS KMS 

### Remediasi
<a name="sqs-1-remediation"></a>

*Untuk mengonfigurasi SSE untuk antrean SQS, lihat [Mengonfigurasi enkripsi sisi server (SSE) untuk antrian (konsol) di](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) Panduan Pengembang Layanan Antrian Sederhana Amazon.*

## [SQS.2] Antrian SQS harus ditandai
<a name="sqs-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan:** `tagged-sqs-queue` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah antrian Amazon SQS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika antrian tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antrian tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="sqs-2-remediation"></a>

*Untuk menambahkan tag ke antrean yang ada menggunakan konsol Amazon SQS, [lihat Mengonfigurasi tag alokasi biaya untuk antrean (konsol) Amazon SQS di Panduan Pengembang Layanan Antrian](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) Sederhana Amazon.*

## [SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
<a name="sqs-3"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan akses Amazon SQS memungkinkan akses publik ke antrean SQS. Kontrol gagal jika kebijakan akses SQS mengizinkan akses publik ke antrian.

Kebijakan akses Amazon SQS dapat mengizinkan akses publik ke antrean SQS, yang memungkinkan pengguna anonim atau identitas AWS IAM yang diautentikasi untuk mengakses antrian. Kebijakan akses SQS biasanya menyediakan akses ini dengan menentukan karakter wildcard (`*`) dalam `Principal` elemen kebijakan, tidak menggunakan kondisi yang tepat untuk membatasi akses ke antrian, atau keduanya. Jika kebijakan akses SQS mengizinkan akses publik, pihak ketiga mungkin dapat melakukan tugas seperti menerima pesan dari antrian, mengirim pesan ke antrian, atau mengubah kebijakan akses untuk antrian. Hal ini dapat mengakibatkan peristiwa seperti eksfiltrasi data, penolakan layanan, atau injeksi pesan ke dalam antrian oleh aktor ancaman.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan akses Amazon SQS untuk antrian hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak berisi karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="sqs-3-remediation"></a>

Untuk informasi tentang mengonfigurasi kebijakan akses SQS untuk antrean SQS, lihat [Menggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS di Panduan Pengembang Layanan](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Antrian Sederhana *Amazon*.

# Kontrol CSPM Security Hub untuk Step Functions
<a name="stepfunctions-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Step Functions layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
<a name="stepfunctions-1"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::StepFunctions::StateMachine`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Tingkat logging minimum  |  Enum  |  `ALL, ERROR, FATAL`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah mesin AWS Step Functions status telah mengaktifkan pencatatan. Kontrol gagal jika mesin status tidak mengaktifkan logging. Jika Anda memberikan nilai khusus untuk `logLevel` parameter, kontrol hanya akan diteruskan jika mesin status mengaktifkan level logging yang ditentukan.

Pemantauan membantu Anda menjaga keandalan, ketersediaan, dan kinerja Step Functions. Anda harus mengumpulkan sebanyak mungkin data pemantauan dari Layanan AWS yang Anda gunakan sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik. Memiliki konfigurasi logging yang ditentukan untuk mesin status Step Functions memungkinkan Anda melacak riwayat eksekusi dan hasil di Amazon CloudWatch Logs. Secara opsional, Anda hanya dapat melacak kesalahan atau peristiwa fatal.

### Remediasi
<a name="stepfunctions-1-remediation"></a>

Untuk mengaktifkan logging untuk mesin status Step Functions, lihat [Mengkonfigurasi logging](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) di *Panduan AWS Step Functions Pengembang*.

## [StepFunctions.2] Aktivitas Step Functions harus diberi tag
<a name="stepfunctions-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::StepFunctions::Activity`

**AWS Config aturan:** `tagged-stepfunctions-activity` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Step Functions aktivitas memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika aktivitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aktivitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="stepfunctions-2-remediation"></a>

Untuk menambahkan tag ke aktivitas Step Functions, lihat [Menandai di Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) di *Panduan AWS Step Functions Pengembang*.

# Kontrol CSPM Security Hub untuk Systems Manager
<a name="ssm-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Systems Manager (SSM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager
<a name="ssm-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8),, NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Sedang

**Sumber daya yang dievaluasi:** `AWS::EC2::Instance`

**Sumber daya AWS Config perekaman yang diperlukan:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 yang berhenti dan berjalan di akun Anda dikelola oleh. AWS Systems Manager Systems Manager adalah Layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol AWS infrastruktur Anda.

Untuk membantu Anda menjaga keamanan dan kepatuhan, Systems Manager memindai instans terkelola yang berhenti dan berjalan. Sebuah instance terkelola adalah mesin yang dikonfigurasi untuk digunakan dengan Systems Manager. Systems Manager kemudian melaporkan atau mengambil tindakan korektif atas setiap pelanggaran kebijakan yang terdeteksi. Systems Manager juga membantu Anda mengkonfigurasi dan mempertahankan instans terkelola Anda. Untuk mempelajari selengkapnya, lihat [Panduan Pengguna AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**catatan**  
Kontrol ini menghasilkan `FAILED` temuan untuk instans EC2 yang merupakan instance Server AWS Elastic Disaster Recovery Replikasi yang dikelola oleh. AWS Instance Server Replikasi adalah Instans EC2 yang diluncurkan secara otomatis AWS Elastic Disaster Recovery untuk mendukung replikasi data berkelanjutan dari server sumber. AWS Sengaja menghapus Agen Systems Manager (SSM) dari instans ini untuk menjaga isolasi dan membantu mencegah potensi jalur akses yang tidak diinginkan.

### Remediasi
<a name="ssm-1-remediation"></a>

*Untuk informasi tentang mengelola instans EC2 dengan AWS Systems Manager, lihat manajemen [host Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) di AWS Systems Manager Panduan Pengguna.* Di bagian **Opsi konfigurasi** di AWS Systems Manager konsol, Anda dapat menyimpan pengaturan default atau mengubahnya seperlunya untuk konfigurasi pilihan Anda.

## [SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch
<a name="ssm-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (3), Nist.800-53.R5 SI-2 (4), Nist.800-53.r5 SI-2 (5), NIST.800-53.R5 SI-2 (5), Nist.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategori:** Deteksi > Layanan deteksi 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SSM::PatchCompliance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Systems Manager `COMPLIANT` atau `NON_COMPLIANT` setelah instalasi patch pada instance. Kontrol gagal jika status kepatuhan`NON_COMPLIANT`. Kontrol hanya memeriksa instance yang dikelola oleh Systems Manager Patch Manager.

Menambal instans EC2 Anda seperti yang dipersyaratkan oleh organisasi Anda mengurangi permukaan serangan Anda. Akun AWS

### Remediasi
<a name="ssm-2-remediation"></a>

Systems Manager merekomendasikan penggunaan [kebijakan tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) untuk mengonfigurasi patching untuk instans terkelola Anda. Anda juga dapat menggunakan [dokumen Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), seperti yang dijelaskan dalam prosedur berikut, untuk menambal instance.

**Untuk memulihkan tambalan yang tidak sesuai**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Untuk **Node Management**, pilih **Run Command**, dan kemudian pilih **Run command**.

1. Pilih opsi untuk **AWS- RunPatchBaseline**.

1. Ubah **Operasi** untuk **Menginstal**.

1. **Pilih instans secara manual**, lalu pilih instans yang tidak sesuai.

1. Pilih **Jalankan**.

1. Setelah perintah selesai, untuk memantau status kepatuhan baru dari instance yang ditambal, pilih **Kepatuhan** di panel navigasi.

## [SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT
<a name="ssm-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), Nist.800-53.r5 CM-8, Nist.800-53.r5 CM-8 (1), Nist.800-53.R5 CM-8 (3), Nist.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SSM::AssociationCompliance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah status kepatuhan AWS Systems Manager asosiasi `COMPLIANT` atau `NON_COMPLIANT` setelah asosiasi dijalankan pada sebuah instance. Kontrol gagal jika status kepatuhan asosiasi`NON_COMPLIANT`.

Asosiasi State Manager adalah konfigurasi yang ditetapkan untuk instans terkelola Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup. 

Setelah Anda membuat satu atau beberapa asosiasi Manajer Negara, informasi status kepatuhan segera tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap AWS CLI perintah atau tindakan API Systems Manager terkait. Untuk asosiasi, Kepatuhan Konfigurasi menunjukkan status kepatuhan (`Compliant`atau`Non-compliant`). Ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti `Critical` atau`Medium`.

Untuk mempelajari lebih lanjut tentang kepatuhan asosiasi Manajer [Negara, lihat Tentang kepatuhan asosiasi Manajer Negara](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) di *Panduan AWS Systems Manager Pengguna*.

### Remediasi
<a name="ssm-3-remediation"></a>

Asosiasi yang gagal dapat dikaitkan dengan hal-hal yang berbeda, termasuk target dan nama dokumen Systems Manager. Untuk mengatasi masalah ini, Anda harus terlebih dahulu mengidentifikasi dan menyelidiki asosiasi dengan melihat riwayat asosiasi. Untuk petunjuk tentang melihat riwayat asosiasi, lihat [Melihat riwayat asosiasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) di *Panduan AWS Systems Manager Pengguna*.

Setelah menyelidiki, Anda dapat mengedit asosiasi untuk memperbaiki masalah yang diidentifikasi. Anda dapat mengedit asosiasi untuk menentukan nama, jadwal, tingkat keparahan, atau target baru. Setelah Anda mengedit asosiasi, AWS Systems Manager buat versi baru. Untuk petunjuk tentang mengedit asosiasi, lihat [Mengedit dan membuat versi baru asosiasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) di *Panduan AWS Systems Manager Pengguna*.

## [SSM.4] Dokumen SSM seharusnya tidak bersifat publik
<a name="ssm-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SSM::Document`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Systems Manager dokumen yang dimiliki oleh akun bersifat publik. Kontrol gagal jika dokumen Systems Manager yang memiliki `Self` sebagai pemilik bersifat publik.

Dokumen Systems Manager yang bersifat publik mungkin memungkinkan akses yang tidak diinginkan ke dokumen Anda. Dokumen Systems Manager publik dapat mengekspos informasi berharga tentang akun, sumber daya, dan proses internal Anda.

Kecuali kasus penggunaan Anda memerlukan berbagi publik, kami menyarankan Anda memblokir berbagi publik untuk dokumen Systems Manager yang memiliki `Self` sebagai pemilik.

### Remediasi
<a name="ssm-4-remediation"></a>

Untuk informasi tentang mengonfigurasi berbagi untuk dokumen Systems Manager, lihat [Membagikan dokumen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) di *AWS Systems Manager Panduan Pengguna*.

## [SSM.5] Dokumen SSM harus diberi tag
<a name="ssm-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SSM::Document`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Systems Manager dokumen memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika dokumen tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dokumen tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol tidak mengevaluasi dokumen Systems Manager yang dimiliki oleh Amazon.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ssm-5-remediation"></a>

Untuk menambahkan tag ke AWS Systems Manager dokumen, Anda dapat menggunakan [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operasi AWS Systems Manager API atau, jika Anda menggunakan AWS CLI, jalankan [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)perintah. Anda juga dapat menggunakan AWS Systems Manager konsol.

## [SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch
<a name="ssm-6"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk Otomasi AWS Systems Manager (SSM). Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk SSM Automation.

SSM Automation adalah AWS Systems Manager alat yang membantu Anda membangun solusi otomatis untuk menyebarkan, mengonfigurasi, dan mengelola AWS sumber daya dalam skala besar menggunakan runbook yang telah ditentukan atau kustom. Untuk memenuhi persyaratan operasional atau keamanan untuk organisasi Anda, Anda mungkin perlu memberikan catatan skrip yang dijalankannya. Anda dapat mengonfigurasi SSM Automation untuk mengirim output dari `aws:executeScript` tindakan di runbook ke grup CloudWatch log Amazon Logs yang Anda tentukan. Dengan CloudWatch Log, Anda dapat memantau, menyimpan, dan mengakses file log dari berbagai file Layanan AWS.

### Remediasi
<a name="ssm-6-remediation"></a>

Untuk informasi tentang mengaktifkan CloudWatch logging untuk Otomasi SSM, lihat [Keluaran tindakan Otomasi Pencatatan dengan CloudWatch Log](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) di *AWS Systems Manager Panduan Pengguna*.

## [SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok
<a name="ssm-7"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah setelan blok berbagi publik diaktifkan untuk AWS Systems Manager dokumen. Kontrol gagal jika setelan blok berbagi publik dinonaktifkan untuk dokumen Systems Manager.

Pengaturan blok berbagi publik untuk dokumen AWS Systems Manager (SSM) adalah pengaturan tingkat akun. Mengaktifkan pengaturan ini dapat mencegah akses yang tidak diinginkan ke dokumen SSM Anda. Jika Anda mengaktifkan setelan ini, perubahan Anda tidak memengaruhi dokumen SSM apa pun yang saat ini Anda bagikan dengan publik. Kecuali kasus penggunaan Anda mengharuskan Anda untuk berbagi dokumen SSM dengan publik, kami sarankan Anda mengaktifkan pengaturan blokir berbagi publik. Pengaturan dapat berbeda untuk masing-masing Wilayah AWS.

### Remediasi
<a name="ssm-7-remediation"></a>

*Untuk informasi tentang mengaktifkan setelan blokir berbagi publik untuk dokumen AWS Systems Manager (SSM), lihat [Memblokir berbagi publik untuk dokumen SSM di Panduan](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) Pengguna.AWS Systems Manager *

# Kontrol CSPM Security Hub untuk AWS Transfer Family
<a name="transfer-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Transfer Family layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Transfer.1] AWS Transfer Family alur kerja harus ditandai
<a name="transfer-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Workflow`

**AWS Config aturan:** `tagged-transfer-workflow` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Transfer Family alur kerja memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika alur kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="transfer-1-remediation"></a>

**Untuk menambahkan tag ke alur kerja Transfer Family (konsol)**

1. Buka AWS Transfer Family konsol.

1. Di panel navigasi, pilih **Alur Kerja**. Kemudian, pilih alur kerja yang ingin Anda tag.

1. Pilih **Kelola tag**, lalu tambahkan tag.

## [Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
<a name="transfer-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Transfer::Server`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Transfer Family server menggunakan protokol selain FTP untuk koneksi endpoint. Kontrol gagal jika server menggunakan protokol FTP untuk klien untuk terhubung ke endpoint server.

FTP (File Transfer Protocol) menetapkan koneksi titik akhir melalui saluran yang tidak terenkripsi, meninggalkan data yang dikirim melalui saluran ini rentan terhadap intersepsi. Menggunakan SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure), atau AS2 (Applicability Statement 2) menawarkan lapisan keamanan ekstra dengan mengenkripsi data Anda dalam perjalanan dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan.

### Remediasi
<a name="transfer-2-remediation"></a>

Untuk mengubah protokol server Transfer Family, lihat [Mengedit protokol transfer file](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) di *AWS Transfer Family Panduan Pengguna*.

## [Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
<a name="transfer-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-4, Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Transfer::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk AWS Transfer Family konektor. Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk konektor.

Amazon CloudWatch adalah layanan pemantauan dan observabilitas yang memberikan visibilitas ke AWS sumber daya Anda, termasuk AWS Transfer Family sumber daya. Untuk Transfer Family, CloudWatch menyediakan audit dan pencatatan terkonsolidasi untuk kemajuan dan hasil alur kerja. Ini mencakup beberapa metrik yang didefinisikan Transfer Family untuk alur kerja. Anda dapat mengonfigurasi Transfer Family untuk secara otomatis mencatat peristiwa konektor CloudWatch. Untuk melakukan ini, Anda menentukan peran logging untuk konektor. Untuk peran logging, Anda membuat peran IAM dan kebijakan IAM berbasis sumber daya yang menentukan izin untuk peran tersebut.

### Remediasi
<a name="transfer-3-remediation"></a>

Untuk informasi tentang mengaktifkan CloudWatch logging untuk konektor Transfer Family, lihat [Amazon CloudWatch logging untuk AWS Transfer Family server](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) di *Panduan AWS Transfer Family Pengguna*.

## [Transfer.4] Perjanjian Transfer Family harus ditandai
<a name="transfer-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Agreement`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family perjanjian memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika perjanjian tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika perjanjian tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-4-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family perjanjian, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.5] Sertifikat Transfer Family harus diberi tag
<a name="transfer-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family sertifikat memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika sertifikat tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-5-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family sertifikat, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.6] Konektor Transfer Family harus diberi tag
<a name="transfer-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family konektor memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konektor tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konektor tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-6-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family konektor, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.7] Profil Transfer Family harus diberi tag
<a name="transfer-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Profile`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family profil memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika profil tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol mengevaluasi profil lokal dan profil mitra.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-7-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family profil, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Tag dan Editor Tag*.

# Kontrol CSPM Security Hub untuk AWS WAF
<a name="waf-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS WAF layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan
<a name="waf-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk ACL web AWS WAF global. Kontrol ini gagal jika logging tidak diaktifkan untuk ACL web.

Logging adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS WAF global. Ini adalah persyaratan bisnis dan kepatuhan di banyak organisasi, dan memungkinkan Anda memecahkan masalah perilaku aplikasi. Ini juga memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web yang dilampirkan AWS WAF.

### Remediasi
<a name="waf-1-remediation"></a>

Untuk mengaktifkan pencatatan untuk ACL AWS WAF web, lihat [Mencatat informasi lalu lintas ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) di Panduan *AWS WAF Pengembang*.

## [WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat
<a name="waf-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::Rule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah aturan AWS WAF Regional memiliki setidaknya satu syarat. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.

Aturan Regional WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan Regional WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-2-remediation"></a>

Untuk menambahkan kondisi ke aturan kosong, lihat [Menambahkan dan menghapus kondisi dalam aturan](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) di *Panduan AWS WAF Pengembang*.

## [WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan
<a name="waf-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kelompok aturan AWS WAF Regional memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan Regional WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Kelompok aturan Regional WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-3-remediation"></a>

Untuk menambahkan aturan dan ketentuan aturan ke grup aturan kosong, lihat [Menambahkan dan menghapus aturan dari grup aturan AWS WAF Klasik](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) serta [Menambahkan dan menghapus kondisi dalam aturan](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) di *Panduan AWS WAF Pengembang*.

## [WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ACL AWS WAF Classic Regional web berisi aturan WAF atau grup aturan WAF. Kontrol ini gagal jika ACL web tidak berisi aturan WAF atau grup aturan.

ACL web Regional WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-4-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL web Regional AWS WAF Klasik kosong, lihat [Mengedit ACL Web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) *Pengembang*.

## [WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat
<a name="waf-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::Rule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah aturan AWS WAF global berisi kondisi apa pun. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.

Aturan global WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan global WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-6-remediation"></a>

Untuk petunjuk cara membuat aturan dan menambahkan kondisi, lihat [Membuat aturan dan menambahkan kondisi](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) di *Panduan AWS WAF Pengembang*.

## [WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan
<a name="waf-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup aturan AWS WAF global memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan global WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Grup aturan global WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-7-remediation"></a>

Untuk petunjuk cara menambahkan aturan ke grup aturan, lihat [Membuat grup aturan AWS WAF Klasik](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) di *Panduan AWS WAF Pengembang*.

## [WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ACL web AWS WAF global berisi setidaknya satu aturan WAF atau grup aturan WAF. Kontrol gagal jika ACL web tidak berisi aturan WAF atau grup aturan.

ACL web global WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-8-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL web AWS WAF global yang kosong, lihat [Mengedit ACL web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) *Pengembang*. Untuk **Filter**, pilih **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFv2::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah daftar kontrol akses web AWS WAF V2 (web ACL) berisi setidaknya satu aturan atau grup aturan. Kontrol gagal jika ACL web tidak berisi aturan atau grup aturan apa pun.

ACL web memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya Anda yang dilindungi. ACL web harus berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti dengan AWS WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-10-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL WAFV2 web kosong, lihat [Mengedit ACL Web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) *Pengembang*.

## [WAF.11] pencatatan ACL AWS WAF web harus diaktifkan
<a name="waf-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::WAFv2::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk daftar kontrol akses web AWS WAF V2 (web ACL). Kontrol ini gagal jika logging dinonaktifkan untuk ACL web.

**catatan**  
Kontrol ini tidak memeriksa apakah pencatatan ACL AWS WAF web diaktifkan untuk akun melalui Amazon Security Lake.

Logging mempertahankan keandalan, ketersediaan, dan kinerja AWS WAF. Selain itu, penebangan adalah persyaratan bisnis dan kepatuhan di banyak organisasi. Dengan mencatat lalu lintas yang dianalisis oleh ACL web Anda, Anda dapat memecahkan masalah perilaku aplikasi.

### Remediasi
<a name="waf-11-remediation"></a>

Untuk mengaktifkan logging untuk ACL AWS WAF web, lihat [Mengelola logging untuk ACL web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) *Pengembang*.

## AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch
<a name="waf-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), Nist.800-171.R2 3.14.6, Nist.800-171.R2 3.14.7

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFv2::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS WAF aturan atau grup aturan mengaktifkan CloudWatch metrik Amazon. Kontrol gagal jika aturan atau grup aturan tidak mengaktifkan CloudWatch metrik.

Mengkonfigurasi CloudWatch metrik pada AWS WAF aturan dan grup aturan memberikan visibilitas ke arus lalu lintas. Anda dapat melihat aturan ACL mana yang dipicu dan permintaan mana yang diterima dan diblokir. Visibilitas ini dapat membantu Anda mengidentifikasi aktivitas berbahaya pada sumber daya terkait.

### Remediasi
<a name="waf-12-remediation"></a>

Untuk mengaktifkan CloudWatch metrik pada grup AWS WAF aturan, panggil API. [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html) Untuk mengaktifkan CloudWatch metrik pada AWS WAF aturan, panggil [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API. Atur `CloudWatchMetricsEnabled` bidang ke`true`. Saat Anda menggunakan AWS WAF konsol untuk membuat aturan atau grup aturan, CloudWatch metrik diaktifkan secara otomatis.

# Kontrol CSPM Security Hub untuk WorkSpaces
<a name="workspaces-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi WorkSpaces layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
<a name="workspaces-1"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WorkSpaces::Workspace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume pengguna di Amazon WorkSpaces WorkSpace dienkripsi saat istirahat. Kontrol gagal jika volume WorkSpace pengguna tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="workspaces-1-remediation"></a>

Untuk mengenkripsi volume WorkSpaces pengguna, lihat [Mengenkripsi WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) di Panduan * WorkSpaces Administrasi Amazon*.

## [WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
<a name="workspaces-2"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WorkSpaces::Workspace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume root di Amazon WorkSpaces WorkSpace dienkripsi saat istirahat. Kontrol gagal jika volume WorkSpace root tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="workspaces-2-remediation"></a>

Untuk mengenkripsi volume WorkSpaces root, lihat [Mengenkripsi a WorkSpace di Panduan WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) *Administrasi Amazon*.