Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pengantar AWS Security Hub CSPM
<a name="what-is-securityhub"></a>

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) memberi Anda pandangan komprehensif tentang status keamanan Anda AWS dan membantu Anda menilai AWS lingkungan Anda berdasarkan standar industri keamanan dan praktik terbaik.

AWS Security Hub CSPM mengumpulkan data keamanan di seluruh Akun AWS Layanan AWS, dan mendukung produk pihak ketiga serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Untuk membantu Anda mengelola status keamanan organisasi Anda, Security Hub CSPM mendukung beberapa standar keamanan. Ini termasuk standar Praktik Terbaik Keamanan AWS Dasar (FSBP) yang dikembangkan oleh AWS, dan kerangka kerja kepatuhan eksternal seperti Pusat Keamanan Internet (CIS), Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dan Institut Standar dan Teknologi Nasional (NIST). Setiap standar mencakup beberapa kontrol keamanan, yang masing-masing mewakili praktik terbaik keamanan. Security Hub CSPM menjalankan pemeriksaan terhadap kontrol keamanan dan menghasilkan temuan kontrol untuk membantu Anda menilai kepatuhan Anda terhadap praktik terbaik keamanan.

Selain menghasilkan temuan kontrol, Security Hub CSPM juga menerima temuan dari pihak lain Layanan AWS- seperti Amazon, Amazon GuardDuty Inspector, dan Amazon Macie - dan mendukung produk pihak ketiga. Ini memberi Anda satu panel kaca ke dalam berbagai masalah terkait keamanan. Anda juga dapat mengirim temuan CSPM Security Hub ke produk pihak ketiga lainnya Layanan AWS dan yang didukung.

Security Hub CSPM menawarkan fitur otomatisasi yang membantu Anda melakukan triase dan memulihkan masalah keamanan. Misalnya, Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan penting secara otomatis saat pemeriksaan keamanan gagal. Anda juga dapat memanfaatkan integrasi dengan Amazon EventBridge untuk memicu respons otomatis terhadap temuan tertentu.

**Topics**
+ [Manfaat CSPM Security Hub](#securityhub-benefits)
+ [Mengakses Security Hub CSPM](#securityhub-get-started)
+ [Layanan terkait](#securityhub-related-services)
+ [Security Hub CSPM uji coba gratis dan harga](#securityhub-free-trial)
+ [Konsep dan terminologi di Security Hub CSPM](securityhub-concepts.md)
+ [Mengaktifkan Security Hub CSPM](securityhub-settingup.md)
+ [Mengelola akun administrator dan anggota di Security Hub CSPM](securityhub-accounts.md)
+ [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md)
+ [Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md)
+ [Memahami kontrol keamanan di Security Hub CSPM](controls-view-manage.md)
+ [Memahami integrasi dalam Security Hub CSPM](securityhub-findings-providers.md)
+ [Membuat dan memperbarui temuan di Security Hub CSPM](securityhub-findings.md)
+ [Melihat wawasan di Security Hub CSPM](securityhub-insights.md)
+ [Secara otomatis memodifikasi dan bertindak atas temuan di Security Hub CSPM](automations.md)
+ [Bekerja dengan dasbor di Security Hub CSPM](dashboard.md)
+ [Batas regional untuk Security Hub CSPM](securityhub-regions.md)
+ [Membuat sumber daya CSPM Security Hub dengan CloudFormation](creating-resources-with-cloudformation.md)
+ [Berlangganan pengumuman CSPM Security Hub dengan Amazon SNS](securityhub-announcements.md)
+ [Menonaktifkan CSPM Security Hub](securityhub-disable.md)
+ [Keamanan di AWS Security Hub CSPM](security.md)
+ [Mencatat panggilan API Security Hub dengan CloudTrail](securityhub-ct.md)

## Manfaat CSPM Security Hub
<a name="securityhub-benefits"></a>

Berikut adalah beberapa cara utama Security Hub CSPM membantu Anda memantau kepatuhan dan postur keamanan Anda di seluruh lingkungan Anda AWS .

**Mengurangi upaya mengumpulkan dan memprioritaskan temuan**  
Security Hub CSPM mengurangi upaya untuk mengumpulkan dan memprioritaskan temuan keamanan di seluruh akun dari produk terintegrasi Layanan AWS dan mitra. AWS Security Hub CSPM memproses pencarian data menggunakan AWS Security Finding Format (ASFF), format pencarian standar. Ini menghilangkan kebutuhan untuk mengelola temuan dari berbagai sumber dalam berbagai format. Security Hub CSPM juga menghubungkan temuan di seluruh penyedia untuk membantu Anda memprioritaskan yang paling penting.

**Pemeriksaan keamanan otomatis terhadap praktik dan standar terbaik**  
Security Hub CSPM secara otomatis menjalankan konfigurasi tingkat akun dan pemeriksaan keamanan yang berkelanjutan berdasarkan praktik AWS terbaik dan standar industri. Security Hub CSPM menggunakan hasil pemeriksaan ini untuk menghitung skor keamanan, dan mengidentifikasi akun dan sumber daya tertentu yang memerlukan perhatian.

**Pandangan konsolidasi temuan di seluruh akun dan penyedia**  
Security Hub CSPM mengkonsolidasikan temuan keamanan Anda di seluruh akun dan produk penyedia dan menampilkan hasilnya di konsol CSPM Security Hub. Anda juga dapat mengambil temuan melalui Security Hub CSPM API,, AWS CLI atau. SDKs Dengan pandangan holistik tentang status keamanan Anda saat ini, Anda dapat melihat tren, mengidentifikasi potensi masalah, dan mengambil langkah-langkah perbaikan yang diperlukan.

**Kemampuan untuk mengotomatiskan menemukan pembaruan dan remediasi**  
Anda dapat membuat aturan otomatisasi yang memodifikasi atau menekan temuan berdasarkan kriteria yang Anda tentukan. Security Hub CSPM juga mendukung integrasi dengan Amazon. EventBridge Untuk mengotomatiskan remediasi temuan tertentu, Anda dapat menentukan tindakan khusus yang harus diambil saat temuan dihasilkan. Misalnya, Anda dapat mengonfigurasi tindakan khusus untuk mengirim temuan ke sistem tiket atau ke sistem remediasi otomatis.

## Mengakses Security Hub CSPM
<a name="securityhub-get-started"></a>

Security Hub CSPM tersedia di sebagian besar. Wilayah AWS Untuk daftar Wilayah tempat CSPM Security Hub saat ini tersedia, lihat [titik akhir dan kuota CSPM AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) di. *Referensi Umum AWS* Untuk informasi tentang mengelola Wilayah AWS akun Anda Akun AWS, lihat [Menentukan Wilayah AWS akun mana yang dapat digunakan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dalam *Panduan AWS Account Management Referensi*.

Di setiap Wilayah, Anda dapat mengakses dan menggunakan Security Hub CSPM dengan salah satu cara berikut:

**Konsol CSPM Security Hub**  
 Konsol Manajemen AWS Ini adalah antarmuka berbasis browser yang dapat Anda gunakan untuk membuat dan mengelola AWS sumber daya. Sebagai bagian dari konsol tersebut, konsol CSPM Security Hub menyediakan akses ke akun, data, dan sumber daya CSPM Security Hub Anda. Anda dapat melakukan tugas CSPM Security Hub dengan menggunakan konsol CSPM Security Hub — melihat temuan, membuat aturan otomatisasi, membuat Wilayah agregasi, dan banyak lagi.

**Security Hub CSPM API**  
Security Hub CSPM API memberi Anda akses terprogram ke akun, data, dan sumber daya CSPM Security Hub Anda. Dengan API, Anda dapat mengirim permintaan HTTPS langsung ke Security Hub CSPM. Untuk informasi tentang API, lihat *[Referensi AWS Security Hub API](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*.

**AWS CLI**  
Dengan itu AWS CLI, Anda dapat menjalankan perintah di baris perintah sistem Anda untuk melakukan tugas CSPM Security Hub. Dalam beberapa kasus, menggunakan baris perintah bisa lebih cepat dan lebih nyaman daripada menggunakan konsol. Baris perintah juga berguna jika Anda ingin membangun skrip yang melakukan tugas. Untuk informasi tentang menginstal dan menggunakan AWS CLI, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).

**AWS SDKs**  
AWS menyediakan SDKs yang terdiri dari pustaka dan kode sampel untuk berbagai bahasa dan platform pemrograman — misalnya, Java, Go, Python, C \$1\$1, dan .NET. Ini SDKs menyediakan akses terprogram yang nyaman ke Security Hub CSPM dan lainnya Layanan AWS dalam bahasa pilihan Anda. SDK menangani tugas seperti menandatangani permintaan secara kriptografis, mengelola kesalahan, dan mencoba kembali permintaan secara otomatis. Untuk informasi tentang menginstal dan menggunakan AWS SDKs, lihat [Alat untuk Dibangun AWS](https://aws.amazon.com/developertools/).

**penting**  
Security Hub CSPM hanya mendeteksi dan mengkonsolidasikan temuan yang dihasilkan setelah Anda mengaktifkan Security Hub CSPM. Itu tidak secara retroaktif mendeteksi dan mengkonsolidasikan temuan keamanan yang dihasilkan sebelum Anda mengaktifkan Security Hub CSPM.  
Security Hub CSPM hanya menerima dan memproses temuan di Wilayah tempat Anda mengaktifkan CSPM Security Hub di akun Anda.  
Untuk kepatuhan penuh dengan pemeriksaan keamanan CIS AWS Foundations Benchmark, Anda harus mengaktifkan Security Hub CSPM di semua Wilayah yang didukung. AWS 

## Layanan terkait
<a name="securityhub-related-services"></a>

Untuk lebih mengamankan AWS lingkungan Anda, pertimbangkan untuk menggunakan yang lain Layanan AWS dalam kombinasi dengan Security Hub CSPM. Beberapa Layanan AWS mengirim temuan mereka ke Security Hub CSPM, dan Security Hub CSPM menormalkan temuan ke dalam format standar. Beberapa juga Layanan AWS dapat menerima temuan dari Security Hub CSPM.

Untuk daftar orang lain Layanan AWS yang mengirim atau menerima temuan CSPM Security Hub, lihat. [Layanan AWS integrasi dengan Security Hub CSPM](securityhub-internal-providers.md)

Security Hub CSPM menggunakan aturan terkait layanan dari AWS Config untuk menjalankan pemeriksaan keamanan untuk sebagian besar kontrol. Kontrol mengacu pada spesifik Layanan AWS dan AWS sumber daya. Untuk mengetahui daftar kontrol CSPM Security Hub, lihat. [Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md) Anda harus mengaktifkan AWS Config dan merekam sumber daya di AWS Config CSPM Security Hub untuk menghasilkan sebagian besar temuan kontrol. Untuk informasi selengkapnya, lihat [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

## Security Hub CSPM uji coba gratis dan harga
<a name="securityhub-free-trial"></a>

Saat Anda mengaktifkan CSPM Security Hub Akun AWS untuk pertama kalinya, akun tersebut secara otomatis terdaftar dalam uji coba gratis CSPM Security Hub 30 hari.

Ketika Anda menggunakan Security Hub CSPM selama uji coba gratis, Anda dikenakan biaya untuk penggunaan layanan lain yang berinteraksi dengan Security Hub CSPM, seperti item. AWS Config Anda tidak dikenakan biaya untuk AWS Config aturan yang diaktifkan hanya oleh standar keamanan CSPM Security Hub.

Anda tidak dikenakan biaya untuk menggunakan Security Hub CSPM sampai uji coba gratis Anda berakhir.

### Melihat detail penggunaan
<a name="usage-details"></a>

Security Hub CSPM menyediakan informasi penggunaan, termasuk jumlah pemeriksaan keamanan dan temuan yang diproses oleh akun Anda. Rincian penggunaan juga mencakup waktu yang tersisa dalam uji coba gratis. Informasi ini dapat membantu Anda memahami penggunaan CSPM Security Hub setelah uji coba gratis berakhir. Informasi penggunaan juga tersedia setelah uji coba gratis berakhir.

**Untuk menampilkan informasi penggunaan (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Penggunaan** di bawah **Pengaturan**.

Informasi penggunaan hanya untuk akun saat ini dan Wilayah saat ini. Di Wilayah agregasi, informasi penggunaan tidak menyertakan Wilayah yang ditautkan. Untuk informasi selengkapnya tentang Wilayah tertaut, lihat[Jenis data yang dikumpulkan](finding-aggregation.md#finding-aggregation-overview).

Untuk melihat detail biaya akun Anda, gunakan [konsol AWS Penagihan](https://console.aws.amazon.com/billing/).

### Detail harga
<a name="pricing-details"></a>

Untuk informasi selengkapnya tentang cara CSPM Security Hub mengenakan biaya untuk temuan tertelan dan pemeriksaan keamanan, lihat harga CSPM [Security Hub](https://aws.amazon.com/security-hub/pricing/).

# Konsep dan terminologi di Security Hub CSPM
<a name="securityhub-concepts"></a>

Di AWS Security Hub CSPM, kami membangun AWS konsep dan terminologi umum dan menggunakan istilah tambahan ini.

**Akun**  
Akun Amazon Web Services (AWS) standar yang berisi AWS sumber daya Anda. Anda dapat masuk AWS dengan akun Anda dan mengaktifkan Security Hub CSPM.  
Akun dapat mengundang akun lain untuk mengaktifkan CSPM Security Hub dan menjadi terkait dengan akun tersebut di Security Hub CSPM. Menerima undangan keanggotaan bersifat opsional. Jika undangan diterima, akun menjadi akun administrator, dan akun yang ditambahkan adalah akun anggota. Akun administrator dapat melihat temuan di akun anggota mereka.  
Jika Anda terdaftar AWS Organizations, maka organisasi Anda menetapkan akun administrator CSPM Security Hub untuk organisasi tersebut. Akun administrator CSPM Security Hub dapat mengaktifkan akun organisasi lain sebagai akun anggota.  
Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan. Akun hanya dapat memiliki satu akun administrator.  
Untuk informasi selengkapnya, lihat [Mengelola akun administrator dan anggota di Security Hub CSPM](securityhub-accounts.md).

**Akun Administrator**  
Akun di Security Hub CSPM yang diberikan akses untuk melihat temuan untuk akun anggota terkait.  
Akun menjadi akun administrator dengan salah satu cara berikut:  
+ Akun tersebut mengundang akun lain untuk dikaitkan dengannya di Security Hub CSPM. Ketika akun tersebut menerima undangan, mereka menjadi akun anggota, dan akun yang mengundang menjadi akun administrator mereka.
+ Akun ini ditetapkan oleh akun manajemen organisasi sebagai akun administrator CSPM Security Hub. Akun administrator CSPM Security Hub dapat mengaktifkan akun organisasi apa pun sebagai akun anggota, dan juga dapat mengundang akun lain untuk menjadi akun anggota.
Akun hanya dapat memiliki satu akun administrator. Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

**Wilayah Agregasi**  
Menyetel Wilayah agregasi memungkinkan Anda melihat temuan keamanan dari beberapa Wilayah AWS dalam satu panel kaca.   
Wilayah agregasi adalah Wilayah tempat Anda melihat dan mengelola temuan. Temuan dikumpulkan ke Wilayah agregasi dari Wilayah terkait. Pembaruan temuan direplikasi di seluruh Wilayah.  
Di Wilayah agregasi, halaman **standar Keamanan**, **Wawasan**, dan **Temuan** mencakup data dari semua Wilayah terkait.  
Untuk informasi selengkapnya, lihat [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).

**Temuan yang diarsipkan**  
Temuan yang status catatannya (`RecordState`) adalah`ARCHIVED`. Mengarsipkan temuan menunjukkan bahwa penyedia temuan percaya bahwa temuan tersebut tidak lagi relevan. Status rekaman berbeda dari status alur kerja, yang melacak status investigasi menjadi temuan.  
Penyedia pencarian dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)pengoperasian API CSPM Security Hub untuk mengarsipkan temuan yang mereka buat. Security Hub CSPM secara otomatis mengarsipkan temuan kontrol yang memenuhi kriteria tertentu. Untuk informasi selengkapnya, lihat [Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol](controls-findings-create-update.md#securityhub-standards-results-updating).  
Di konsol CSPM Security Hub, pengaturan filter default mengecualikan temuan yang diarsipkan dari daftar dan tabel pencarian. Anda dapat memperbarui pengaturan untuk menyertakan temuan yang diarsipkan. Jika Anda mengambil temuan dengan menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian API CSPM Security Hub, operasi akan mengambil temuan yang diarsipkan dan aktif. Untuk mengecualikan temuan yang diarsipkan, Anda dapat memfilter hasilnya. Contoh:  

```
"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
```

**AWS Format Pencarian Keamanan (ASFF)**  
Format standar untuk isi temuan yang dikumpulkan atau dihasilkan oleh Security Hub CSPM. Format Pencarian AWS Keamanan memungkinkan Anda menggunakan CSPM Security Hub untuk melihat dan menganalisis temuan yang dihasilkan oleh layanan AWS keamanan, solusi pihak ketiga, atau CSPM Security Hub sendiri dari menjalankan pemeriksaan keamanan. Untuk informasi selengkapnya, lihat [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

**Kontrol**  
Pengamanan atau penanggulangan yang ditentukan untuk sistem informasi atau organisasi yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan informasinya dan untuk memenuhi serangkaian persyaratan keamanan yang ditetapkan. Standar keamanan dikaitkan dengan kumpulan kontrol.  
Istilah *kontrol keamanan* mengacu pada kontrol yang memiliki ID kontrol tunggal dan judul di seluruh standar. Istilah *kontrol standar* mengacu pada kontrol yang memiliki kontrol IDs dan judul khusus standar. Saat ini, Security Hub CSPM mendukung kontrol standar hanya di Wilayah Tiongkok dan. AWS GovCloud (US) Regions Kontrol keamanan didukung di semua Wilayah lainnya.

**Tindakan kustom**  
Mekanisme CSPM Security Hub untuk mengirimkan temuan yang dipilih ke. EventBridge Tindakan kustom dibuat di Security Hub CSPM. Ini kemudian dikaitkan dengan EventBridge aturan. Aturan menentukan tindakan tertentu yang harus diambil saat temuan diterima yang terkait dengan ID tindakan kustom. Tindakan khusus dapat digunakan, misalnya, untuk mengirim temuan tertentu, atau serangkaian kecil temuan, ke alur kerja respons atau remediasi. Untuk informasi selengkapnya, lihat [Membuat tindakan kustom](securityhub-cwe-configure.md).

**Akun administrator yang didelegasikan (Organizations)**  
Di AWS Organizations, akun administrator yang didelegasikan untuk suatu layanan dapat mengelola penggunaan layanan untuk organisasi.  
Di Security Hub CSPM, akun administrator CSPM Security Hub juga merupakan akun administrator yang didelegasikan untuk Security Hub CSPM. Saat akun manajemen organisasi pertama kali menunjuk akun administrator CSPM Security Hub, Security Hub CSPM memanggil Organizations untuk menjadikan akun tersebut sebagai akun administrator yang didelegasikan.  
Akun manajemen organisasi kemudian harus memilih akun administrator yang didelegasikan sebagai akun administrator CSPM Security Hub di semua Wilayah.

**Temuan**  
Catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub CSPM menghasilkan dan memperbarui temuan setelah menyelesaikan pemeriksaan keamanan untuk kontrol. Ini disebut *temuan kontrol*. Temuan juga dapat berasal dari integrasi dengan produk lain Layanan AWS dan pihak ketiga.  
Untuk informasi selengkapnya, lihat [Membuat dan memperbarui temuan di Security Hub CSPM](securityhub-findings.md).

**Agregasi Lintas Wilayah**  
Agregasi temuan, wawasan, status kepatuhan kontrol, dan skor keamanan dari Wilayah terkait ke Wilayah agregasi. Anda kemudian dapat melihat semua data Anda dari Wilayah agregasi dan memperbarui temuan dan wawasan dari Wilayah agregasi.  
Untuk informasi selengkapnya, lihat [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).

**Menemukan konsumsi**  
Impor temuan ke Security Hub CSPM dari AWS layanan lain dan dari penyedia mitra pihak ketiga.  
Menemukan peristiwa konsumsi mencakup temuan baru dan pembaruan untuk temuan yang ada.

**Wawasan**  
Kumpulan temuan terkait yang ditentukan oleh pernyataan agregasi dan filter opsional. Wawasan mengidentifikasi area keamanan yang membutuhkan perhatian dan intervensi. Security Hub CSPM menawarkan beberapa wawasan terkelola (default) yang tidak dapat Anda ubah. Anda juga dapat membuat wawasan CSPM Security Hub khusus untuk melacak masalah keamanan yang unik untuk AWS lingkungan dan penggunaan Anda. Untuk informasi selengkapnya, lihat [Melihat wawasan di Security Hub CSPM](securityhub-insights.md).

**Wilayah Tertaut**  
Saat Anda mengaktifkan agregasi Lintas wilayah, Wilayah tertaut adalah wilayah yang menggabungkan temuan, wawasan, mengontrol status kepatuhan, dan skor keamanan ke Wilayah agregasi.  
Di Wilayah terkait, halaman **Temuan** dan **Wawasan** hanya berisi temuan dari Wilayah tersebut.  
Untuk informasi selengkapnya, lihat [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).

**Akun anggota**  
Akun yang telah memberikan izin kepada akun administrator untuk melihat dan mengambil tindakan atas temuan mereka.  
Akun menjadi akun anggota dengan salah satu cara berikut:  
+ Akun menerima undangan dari akun lain.
+ Untuk akun organisasi, akun administrator CSPM Security Hub mengaktifkan akun sebagai akun anggota.

**Persyaratan terkait**  
Seperangkat persyaratan industri atau peraturan yang dipetakan ke kontrol.

**Aturan**  
Seperangkat kriteria otomatis yang digunakan untuk menilai apakah suatu kontrol dipatuhi. Ketika aturan dievaluasi, itu bisa lulus atau gagal. Jika evaluasi tidak dapat menentukan apakah aturan lolos atau gagal, maka aturan tersebut dalam keadaan peringatan. Jika aturan tidak dapat dievaluasi, maka itu dalam keadaan tidak tersedia.

**Pemeriksaan keamanan**  
 point-in-timeEvaluasi spesifik aturan terhadap sumber daya tunggal yang menghasilkan`PASSED`,`FAILED`,`WARNING`, atau `NOT_AVAILABLE` negara. Menjalankan pemeriksaan keamanan menghasilkan temuan.

**Akun administrator CSPM Security Hub**  
Akun organisasi yang mengelola keanggotaan CSPM Security Hub untuk suatu organisasi.  
Akun manajemen organisasi menunjuk akun administrator CSPM Security Hub di setiap Wilayah. Akun manajemen organisasi harus memilih akun administrator CSPM Security Hub yang sama di semua Wilayah.  
Akun administrator CSPM Security Hub juga merupakan akun administrator yang didelegasikan untuk Security Hub CSPM di Organizations.  
Akun administrator CSPM Security Hub dapat mengaktifkan akun organisasi apa pun sebagai akun anggota. Akun administrator CSPM Security Hub juga dapat mengundang akun lain untuk menjadi akun anggota.

**Standar keamanan**  
Pernyataan yang diterbitkan tentang topik yang menentukan karakteristik, biasanya dapat diukur dan dalam bentuk kontrol, yang harus dipenuhi atau dicapai untuk kepatuhan. Standar keamanan dapat didasarkan pada kerangka peraturan, praktik terbaik, atau kebijakan internal perusahaan. Kontrol dapat dikaitkan dengan satu atau lebih standar yang didukung di Security Hub CSPM. Untuk mempelajari lebih lanjut tentang standar keamanan di Security Hub CSPM, lihat. [Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md)

**Kepelikan**  
Tingkat keparahan yang ditetapkan ke kontrol CSPM Security Hub mengidentifikasi pentingnya kontrol. Tingkat keparahan kontrol dapat **Kritis**, **Tinggi**, **Sedang**, **Rendah**, atau **Informasi.** Tingkat keparahan yang ditugaskan untuk mengontrol temuan sama dengan tingkat keparahan kontrol itu sendiri. Untuk mempelajari tentang cara Security Hub CSPM menetapkan tingkat keparahan pada kontrol, lihat. [Tingkat keparahan untuk temuan kontrol](controls-findings-create-update.md#control-findings-severity)

**Status alur kerja**  
Status investigasi terhadap sebuah temuan. Ini dilacak menggunakan `Workflow.Status` atribut.  
Status alur kerja awalnya`NEW`. Jika Anda memberi tahu pemilik sumber daya untuk mengambil tindakan atas temuan tersebut, Anda dapat mengatur status alur kerja ke. `NOTIFIED` Jika temuan tidak menjadi masalah, dan tidak memerlukan tindakan apa pun, setel status alur kerja ke`SUPPRESSED`. Setelah Anda meninjau dan memulihkan temuan, atur status alur kerja ke. `RESOLVED`  
Secara default, sebagian besar daftar temuan hanya menyertakan temuan dengan status alur kerja `NEW` atau`NOTIFIED`. Menemukan daftar untuk kontrol juga mencakup `RESOLVED` temuan.  
Untuk [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operasi, Anda dapat menyertakan filter untuk status alur kerja.  

```
"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],
```
Konsol CSPM Security Hub menyediakan opsi untuk mengatur status alur kerja untuk temuan. Pelanggan (atau SIEM, tiket, manajemen insiden, atau alat SOAR yang bekerja atas nama pelanggan untuk memperbarui temuan dari penyedia pencarian) juga dapat digunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)untuk memperbarui status alur kerja.

# Mengaktifkan Security Hub CSPM
<a name="securityhub-settingup"></a>

Ada dua cara untuk mengaktifkan AWS Security Hub CSPM, dengan mengintegrasikan dengan AWS Organizations atau secara manual.

Kami sangat menyarankan untuk berintegrasi dengan Organizations untuk lingkungan multi-akun dan Multi-wilayah. Jika Anda memiliki akun mandiri, Anda perlu menyiapkan Security Hub CSPM secara manual.

## Memverifikasi izin yang diperlukan
<a name="securityhub-setup-permissions"></a>

Setelah mendaftar Amazon Web Services (AWS), Anda harus mengaktifkan Security Hub CSPM untuk menggunakan kemampuan dan fitur-fiturnya. Untuk mengaktifkan CSPM Security Hub, pertama-tama Anda harus menyiapkan izin yang memungkinkan Anda mengakses konsol CSPM Security Hub dan operasi API. Anda atau AWS administrator Anda dapat melakukan ini dengan menggunakan AWS Identity and Access Management (IAM) untuk melampirkan kebijakan AWS terkelola yang dipanggil `AWSSecurityHubFullAccess` ke identitas IAM Anda.

Untuk mengaktifkan dan mengelola Security Hub CSPM melalui integrasi Organizations, Anda juga harus melampirkan kebijakan AWS terkelola yang disebut. `AWSSecurityHubOrganizationsAccess`

Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk Security Hub](security-iam-awsmanpol.md).

## Mengaktifkan CSPM Security Hub dengan Integrasi Organizations
<a name="securityhub-orgs-setup-overview"></a>

Untuk mulai menggunakan CSPM Security Hub AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator CSPM Security Hub yang didelegasikan untuk organisasi. Security Hub CSPM secara otomatis diaktifkan di akun administrator yang didelegasikan di Wilayah saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menunjuk administrator yang didelegasikan.

------
#### [ Security Hub CSPM console ]

**Untuk menunjuk administrator CSPM Security Hub yang didelegasikan saat melakukan orientasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Buka Security Hub CSPM**. Anda diminta untuk masuk ke akun manajemen Organisasi.

1. Pada halaman **Tentukan administrator yang didelegasikan**, di bagian **Akun administrator yang didelegasikan, tentukan akun administrator** yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

1. Pilih **Setel administrator yang didelegasikan**.

------
#### [ Security Hub CSPM API ]

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

------
#### [ AWS CLI ]

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)perintah dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

**Contoh perintah:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Untuk informasi selengkapnya tentang integrasi dengan Organizations, lihat[Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md).

### Konfigurasi pusat
<a name="securityhub-central-config"></a>

Saat mengintegrasikan Security Hub CSPM dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut [konfigurasi pusat](central-configuration-intro.md) untuk menyiapkan dan mengelola CSPM Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi CSPM Security Hub di seluruh akun,, OUs dan. Wilayah AWS Administrator yang didelegasikan mengonfigurasi CSPM Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:
+ Apakah CSPM Security Hub diaktifkan atau dinonaktifkan
+ Standar keamanan mana yang diaktifkan dan dinonaktifkan
+ Kontrol keamanan mana yang diaktifkan dan dinonaktifkan
+ Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun dan OUs. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OUs yang menggunakan kebijakan konfigurasi *dikelola secara terpusat* dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OUs *dikelola sendiri* untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan suatu dasar. Region-by-Region

Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi CSPM Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut [konfigurasi lokal](local-configuration.md). Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

## Mengaktifkan Security Hub CSPM secara manual
<a name="securityhub-manual-setup-overview"></a>

Anda harus mengaktifkan Security Hub CSPM secara manual jika Anda memiliki akun mandiri, atau jika Anda tidak mengintegrasikan dengan. AWS Organizations Akun mandiri tidak dapat diintegrasikan dengan AWS Organizations dan harus menggunakan pengaktifan manual.

Saat mengaktifkan CSPM Security Hub secara manual, Anda menetapkan akun administrator CSPM Security Hub dan mengundang akun lain untuk menjadi akun anggota. Hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan Security Hub CSPM. Saat mengaktifkan CSPM Security Hub dari konsol, Anda juga memiliki opsi untuk mengaktifkan standar keamanan yang didukung.

------
#### [ Security Hub CSPM console ]

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Saat Anda membuka konsol CSPM Security Hub untuk pertama kalinya, pilih **Buka CSPM Security Hub**.

1. Pada halaman selamat datang, bagian **Standar keamanan mencantumkan standar** keamanan yang didukung Security Hub CSPM.

   Pilih kotak centang untuk standar untuk mengaktifkannya, dan kosongkan kotak centang untuk menonaktifkannya.

   Anda dapat mengaktifkan atau menonaktifkan standar atau kontrol individualnya kapan saja. Untuk informasi tentang mengelola standar keamanan, lihat[Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md).

1. Pilih **Aktifkan Security Hub**.

------
#### [ Security Hub CSPM API ]

Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API. Bila Anda mengaktifkan Security Hub CSPM dari API, maka secara otomatis mengaktifkan standar keamanan default berikut:
+ AWS Praktik Terbaik Keamanan Dasar
+ Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

Jika Anda tidak ingin mengaktifkan standar ini, maka atur `EnableDefaultStandards` ke`false`.

Anda juga dapat menggunakan `Tags` parameter untuk menetapkan nilai tag ke sumber daya hub.

------
#### [ AWS CLI ]

Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Untuk mengaktifkan standar default, sertakan`--enable-default-standards`. Untuk tidak mengaktifkan standar default, sertakan`--no-enable-default-standards`. Standar keamanan default adalah sebagai berikut:
+ AWS Praktik Terbaik Keamanan Dasar
+ Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Contoh**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Skrip pengaktifan multi-akun
<a name="securityhub-enable-multiaccount-script"></a>

**catatan**  
Alih-alih skrip ini, sebaiknya gunakan konfigurasi pusat untuk mengaktifkan dan mengkonfigurasi CSPM Security Hub di beberapa akun dan Wilayah. 

[Skrip pengaktifan multi-akun Security Hub CSPM GitHub memungkinkan Anda mengaktifkan CSPM Security Hub di](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) seluruh akun dan Wilayah. Skrip ini juga mengotomatiskan proses pengiriman undangan ke akun anggota dan mengaktifkan. AWS Config

Skrip secara otomatis memungkinkan perekaman AWS Config sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Ini tidak membatasi pencatatan sumber daya global ke satu Wilayah. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, ini harus menjadi Wilayah asal Anda. Untuk informasi selengkapnya, lihat [Merekam sumber daya di AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Ada skrip yang sesuai untuk menonaktifkan CSPM Security Hub di seluruh akun dan Wilayah.

## Langkah selanjutnya: Manajemen dan integrasi postur
<a name="securityhub-enable-next-steps"></a>

Setelah mengaktifkan Security Hub CSPM, sebaiknya aktifkan standar keamanan dan kontrol untuk memantau postur keamanan Anda. Setelah Anda mengaktifkan kontrol, Security Hub CSPM mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan kontrol yang membantu Anda mendeteksi kesalahan konfigurasi di lingkungan Anda. AWS Untuk menerima temuan kontrol, Anda harus mengaktifkan dan mengkonfigurasi AWS Config untuk Security Hub CSPM. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md).

Setelah mengaktifkan Security Hub CSPM, Anda juga dapat memanfaatkan integrasi antara Security Hub CSPM dan solusi pihak ketiga lainnya Layanan AWS untuk melihat temuan mereka di Security Hub CSPM. Security Hub CSPM mengumpulkan temuan dari berbagai sumber dan mencernanya dalam format yang konsisten. Lihat informasi yang lebih lengkap di [Memahami integrasi dalam Security Hub CSPM](securityhub-findings-providers.md). 

# Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM menggunakan AWS Config aturan untuk menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk sebagian besar kontrol. AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini menggunakan aturan untuk membuat konfigurasi dasar untuk sumber daya Anda dan perekam konfigurasi untuk mendeteksi apakah sumber daya tertentu melanggar ketentuan aturan.

Beberapa aturan, disebut sebagai aturan AWS Config terkelola, telah ditentukan dan dikembangkan oleh AWS Config. Aturan lainnya adalah AWS Config aturan khusus yang dikembangkan Security Hub CSPM. AWS Config aturan yang digunakan CSPM Security Hub untuk kontrol disebut sebagai aturan terkait *layanan*. Aturan terkait layanan memungkinkan Layanan AWS seperti Security Hub CSPM untuk membuat AWS Config aturan di akun Anda. 

Untuk menerima temuan kontrol di Security Hub CSPM, Anda harus mengaktifkan akun AWS Config Anda. Anda juga harus mengaktifkan perekaman sumber daya untuk jenis sumber daya yang memungkinkan evaluasi kontrol. Security Hub CSPM kemudian dapat membuat AWS Config aturan yang sesuai untuk kontrol dan mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk kontrol.

**Topics**
+ [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](#securityhub-prereq-config)
+ [Merekam sumber daya di AWS Config](#config-resource-recording)
+ [Cara untuk mengaktifkan dan mengkonfigurasi AWS Config](#config-how-to-enable)
+ [Memahami kontrol Config.1](#config-1-overview)
+ [Menghasilkan aturan terkait layanan](#securityhub-standards-generate-awsconfigrules)
+ [Pertimbangan Biaya](#config-cost-considerations)

## Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config
<a name="securityhub-prereq-config"></a>

Untuk menerima temuan kontrol di Security Hub CSPM, AWS Config harus diaktifkan untuk akun Anda di setiap Wilayah AWS tempat CSPM Security Hub diaktifkan. Jika Anda menggunakan Security Hub CSPM untuk lingkungan multi-akun, AWS Config harus diaktifkan di setiap Wilayah untuk akun administrator dan semua akun anggota.

Kami sangat menyarankan agar Anda mengaktifkan perekaman sumber daya AWS Config *sebelum* Anda mengaktifkan standar dan kontrol CSPM Security Hub. Ini membantu Anda memastikan bahwa temuan kontrol Anda akurat.

Untuk mengaktifkan perekaman sumber daya AWS Config, Anda harus memiliki izin yang cukup untuk merekam sumber daya dalam peran AWS Identity and Access Management (IAM) yang dilampirkan ke perekam konfigurasi. Selain itu, pastikan bahwa tidak ada kebijakan atau AWS Organizations kebijakan IAM yang AWS Config mencegah izin untuk merekam sumber daya Anda. Kontrol CSPM Security Hub mengevaluasi konfigurasi sumber daya secara langsung dan tidak memperhitungkan AWS Organizations kebijakan. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Jika Anda mengaktifkan standar di CSPM Security Hub tetapi belum diaktifkan AWS Config, CSPM Security Hub mencoba membuat AWS Config aturan terkait layanan sesuai dengan jadwal berikut:
+ Pada hari Anda mengaktifkan standar.
+ Sehari setelah Anda mengaktifkan standar.
+ 3 hari setelah Anda mengaktifkan standar.
+ 7 hari setelah Anda mengaktifkan standar, dan terus menerus setiap 7 hari setelahnya.

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM juga mencoba membuat AWS Config aturan terkait layanan setiap kali Anda mengaitkan kebijakan konfigurasi yang memungkinkan satu atau beberapa standar dengan akun, unit organisasi (OUs), atau root.

## Merekam sumber daya di AWS Config
<a name="config-resource-recording"></a>

Saat Anda mengaktifkan AWS Config, Anda harus menentukan AWS sumber daya mana yang ingin direkam oleh perekam AWS Config konfigurasi. Melalui aturan terkait layanan, perekam konfigurasi memungkinkan CSPM Security Hub mendeteksi perubahan pada konfigurasi sumber daya Anda.

Agar CSPM Security Hub menghasilkan temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config untuk jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Ini terutama mengaktifkan kontrol dengan jenis jadwal yang *dipicu perubahan* yang memerlukan perekaman sumber daya. Beberapa kontrol dengan jenis jadwal *periodik* juga memerlukan perekaman sumber daya. Untuk daftar kontrol ini dan sumber daya yang sesuai, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md).

**Awas**  
Jika Anda tidak mengonfigurasi AWS Config perekaman dengan benar untuk kontrol CSPM Security Hub, ini dapat menghasilkan temuan kontrol yang tidak akurat, terutama dalam kasus berikut:  
Anda tidak pernah merekam sumber daya untuk kontrol tertentu, atau Anda menonaktifkan perekaman sumber daya sebelum membuat jenis sumber daya tersebut. Dalam kasus ini, Anda menerima `WARNING` temuan untuk kontrol yang dipermasalahkan, meskipun Anda mungkin telah membuat sumber daya dalam lingkup kontrol setelah Anda menonaktifkan perekaman. `WARNING`Temuan ini adalah temuan default yang tidak benar-benar mengevaluasi status konfigurasi sumber daya.
Anda menonaktifkan perekaman untuk sumber daya yang dievaluasi oleh kontrol tertentu. Dalam hal ini, Security Hub CSPM mempertahankan temuan kontrol yang dihasilkan sebelum Anda menonaktifkan perekaman, meskipun kontrol tidak mengevaluasi sumber daya baru atau yang diperbarui. Security Hub CSPM juga mengubah status kepatuhan temuan menjadi. `WARNING` Temuan yang dipertahankan ini mungkin tidak secara akurat mencerminkan status konfigurasi sumber daya saat ini.

Secara default, AWS Config mencatat semua *sumber daya Regional* yang didukung yang ditemukan Wilayah AWS di mana ia berjalan. Untuk menerima semua temuan kontrol CSPM Security Hub, Anda juga harus mengonfigurasi AWS Config untuk merekam sumber daya *global*. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, Wilayah ini harus menjadi Wilayah asal Anda.

Di AWS Config, Anda dapat memilih antara *perekaman berkelanjutan* dan *perekaman harian* perubahan status sumber daya. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan CSPM Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.

Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Merekam AWS sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) di *Panduan AWS Config Pengembang*.

## Cara untuk mengaktifkan dan mengkonfigurasi AWS Config
<a name="config-how-to-enable"></a>

Anda dapat mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya dengan salah satu cara berikut:
+ **AWS Config konsol** — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Config konsol. Untuk petunjuk, lihat [Menyiapkan AWS Config dengan konsol](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) di *Panduan AWS Config Pengembang*.
+ **AWS CLI atau SDKs** — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat [Menyiapkan AWS Config dengan AWS CLI di](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) *Panduan AWS Config Pengembang*. AWS kit pengembangan perangkat lunak (SDKs) juga tersedia untuk banyak bahasa pemrograman.
+ **CloudFormation template** — AWS Config Untuk mengaktifkan banyak akun, kami sarankan menggunakan AWS CloudFormation template bernama **Enable AWS Config**. Untuk mengakses template ini, lihat [AWS CloudFormation StackSet contoh template](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) di *Panduan AWS CloudFormation Pengguna*.

  Secara default, template ini tidak termasuk rekaman untuk sumber daya global IAM. Pastikan Anda mengaktifkan perekaman untuk sumber daya global IAM hanya dalam satu Wilayah AWS untuk menghemat biaya perekaman. Jika Anda mengaktifkan agregasi lintas wilayah, ini harus menjadi Wilayah asal [CSPM Security Hub](finding-aggregation.md) Anda. Jika tidak, dapat berupa Wilayah mana pun yang tersedia CSPM Security Hub yang mendukung perekaman sumber daya global IAM. Kami merekomendasikan menjalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya global IAM, di Wilayah asal atau Wilayah terpilih lainnya. Kemudian, jalankan satu detik StackSet untuk merekam semua sumber daya kecuali sumber daya global IAM di Wilayah lain.
+ **GitHub script** — Security Hub CSPM menawarkan [GitHubskrip](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) yang memungkinkan Security Hub CSPM dan AWS Config untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi AWS Organizations, atau Anda memiliki beberapa akun anggota yang bukan bagian dari organisasi.

Untuk informasi selengkapnya, lihat posting blog berikut di *blog AWS Keamanan*: [Optimalkan AWS Config untuk AWS Security Hub CSPM untuk mengelola postur keamanan cloud Anda secara efektif](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Memahami kontrol Config.1
<a name="config-1-overview"></a>

Di CSPM Security Hub, kontrol [Config.1](config-controls.md#config-1) menghasilkan `FAILED` temuan di akun Anda jika dinonaktifkan. AWS Config Ini juga menghasilkan `FAILED` temuan di akun Anda jika AWS Config diaktifkan tetapi perekaman sumber daya tidak diaktifkan. 

Jika AWS Config diaktifkan dan perekaman sumber daya diaktifkan, tetapi perekaman sumber daya tidak diaktifkan untuk jenis sumber daya yang diperiksa oleh kontrol yang diaktifkan, CSPM Security Hub akan menghasilkan `FAILED` temuan untuk kontrol Config.1. Selain `FAILED` temuan ini, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol yang diaktifkan dan jenis sumber daya yang diperiksa kontrol. Misalnya, jika Anda mengaktifkan kontrol [KMS.5](kms-controls.md#kms-5) dan perekaman sumber daya tidak diaktifkan, Security AWS KMS keys Hub CSPM akan menghasilkan `FAILED` temuan untuk kontrol Config.1. Security Hub CSPM juga menghasilkan `WARNING` temuan untuk kontrol KMS.5 dan kunci KMS Anda.

Untuk menerima `PASSED` temuan untuk kontrol Config.1, aktifkan perekaman sumber daya untuk semua jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Juga nonaktifkan kontrol yang tidak diperlukan untuk organisasi Anda. Ini membantu memastikan bahwa Anda tidak memiliki celah konfigurasi dalam pemeriksaan kontrol keamanan Anda. Ini juga membantu memastikan bahwa Anda menerima temuan akurat tentang sumber daya yang salah konfigurasi.

Jika Anda adalah administrator CSPM Security Hub yang didelegasikan untuk organisasi, AWS Config rekaman harus dikonfigurasi dengan benar untuk akun dan akun anggota Anda. Jika Anda menggunakan agregasi lintas wilayah, AWS Config perekaman harus dikonfigurasi dengan benar di Wilayah beranda dan semua Wilayah yang ditautkan. Sumber daya global tidak perlu dicatat di Wilayah terkait.

## Menghasilkan aturan terkait layanan
<a name="securityhub-standards-generate-awsconfigrules"></a>

Untuk setiap kontrol yang menggunakan AWS Config aturan terkait layanan, Security Hub CSPM membuat instance aturan yang diperlukan di lingkungan Anda. AWS 

Aturan terkait layanan ini khusus untuk Security Hub CSPM. Security Hub CSPM membuat aturan terkait layanan ini meskipun contoh lain dari aturan yang sama sudah ada. Aturan terkait layanan ditambahkan `securityhub` sebelum nama aturan asli dan pengidentifikasi unik setelah nama aturan. Misalnya, untuk aturan AWS Config terkelola`vpc-flow-logs-enabled`, nama aturan terkait layanan mungkin. `securityhub-vpc-flow-logs-enabled-12345`

Ada kuota untuk jumlah aturan AWS Config terkelola yang dapat digunakan untuk mengevaluasi kontrol. AWS Config aturan yang dibuat oleh Security Hub CSPM tidak diperhitungkan dalam kuota tersebut. Anda dapat mengaktifkan standar keamanan meskipun Anda telah mencapai AWS Config kuota untuk aturan terkelola di akun Anda. Untuk mempelajari kuota AWS Config aturan selengkapnya, lihat [Batas layanan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) di *Panduan AWS Config Pengembang*.

## Pertimbangan Biaya
<a name="config-cost-considerations"></a>

Security Hub CSPM dapat memengaruhi biaya perekam AWS Config konfigurasi Anda dengan memperbarui item `AWS::Config::ResourceCompliance` konfigurasi. Pembaruan dapat terjadi setiap kali kontrol CSPM Security Hub yang terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan perekam AWS Config konfigurasi hanya untuk Security Hub CSPM, dan tidak menggunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu. AWS Config Ini dapat mengurangi AWS Config biaya Anda. Anda tidak perlu merekam pemeriksaan keamanan `AWS::Config::ResourceCompliance` agar berfungsi di Security Hub CSPM.

[Untuk informasi tentang biaya yang terkait dengan pencatatan sumber daya, lihat [harga dan AWS Config harga CSPM AWS Security Hub](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Memahami konfigurasi lokal di Security Hub CSPM
<a name="local-configuration"></a>

Konfigurasi lokal adalah cara default AWS organisasi dikonfigurasi di Security Hub CSPM. Jika Anda tidak ikut serta dan mengaktifkan konfigurasi pusat, organisasi Anda menggunakan konfigurasi lokal secara default.

Di bawah konfigurasi lokal, akun administrator CSPM Security Hub yang didelegasikan memiliki kontrol terbatas atas pengaturan konfigurasi. Satu-satunya pengaturan yang dapat diterapkan oleh administrator yang didelegasikan secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi baru. Pengaturan ini hanya berlaku di Wilayah tempat Anda menetapkan akun administrator yang didelegasikan. Standar keamanan default adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Setelan konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau ke Wilayah selain yang ditunjuk untuk akun administrator yang didelegasikan.

Selain mengaktifkan CSPM Security Hub dan standar default di akun organisasi baru di satu Wilayah, Anda harus mengonfigurasi setelan CSPM Security Hub lainnya, termasuk standar dan kontrol, secara terpisah di setiap Wilayah dan akun. Karena ini bisa menjadi proses duplikatif, sebaiknya gunakan konfigurasi pusat untuk lingkungan multi-akun jika satu atau beberapa hal berikut berlaku untuk Anda:
+ Anda menginginkan pengaturan konfigurasi yang berbeda untuk berbagai bagian organisasi Anda (misalnya, standar atau kontrol yang diaktifkan berbeda untuk tim yang berbeda).
+ Anda beroperasi di beberapa Wilayah dan ingin mengurangi waktu dan kompleksitas mengonfigurasi layanan di seluruh Wilayah ini.
+ Anda ingin akun baru menggunakan pengaturan konfigurasi tertentu saat mereka bergabung dengan organisasi.
+ Anda ingin akun organisasi mewarisi pengaturan konfigurasi tertentu dari akun induk atau root.

Untuk informasi tentang konfigurasi pusat, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

# Memahami konfigurasi pusat di Security Hub CSPM
<a name="central-configuration-intro"></a>

Konfigurasi pusat adalah fitur CSPM AWS Security Hub yang membantu Anda mengatur dan mengelola CSPM Security Hub di beberapa dan. Akun AWS Wilayah AWS Untuk menggunakan konfigurasi pusat, Anda harus terlebih dahulu mengintegrasikan Security Hub CSPM dan. AWS Organizations Anda dapat mengintegrasikan layanan dengan membuat organisasi dan menunjuk akun administrator CSPM Security Hub yang didelegasikan untuk organisasi.

Dari akun administrator CSPM Security Hub yang didelegasikan, Anda dapat mengaktifkan CSPM Security Hub untuk akun organisasi dan unit organisasi () di seluruh Wilayah. OUs Anda juga dapat mengaktifkan, mengonfigurasi, dan menonaktifkan standar keamanan individual dan kontrol keamanan untuk akun dan OUs di seluruh Wilayah. Anda dapat mengonfigurasi pengaturan ini hanya dalam beberapa langkah dari satu Wilayah utama, yang disebut sebagai *Wilayah asal*.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat memilih akun mana dan OUs untuk mengkonfigurasi. Jika administrator yang didelegasikan menetapkan akun anggota atau OU sebagai *dikelola sendiri*, anggota dapat mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah. Jika administrator yang didelegasikan menetapkan akun anggota atau OU sebagai *dikelola secara terpusat*, hanya administrator yang didelegasikan yang dapat mengonfigurasi akun anggota atau OU di seluruh Wilayah. Anda dapat menetapkan semua akun dan OUs di organisasi Anda sebagai dikelola secara terpusat, semua dikelola sendiri, atau kombinasi keduanya.

Untuk mengonfigurasi akun yang dikelola secara terpusat, administrator yang didelegasikan menggunakan kebijakan konfigurasi CSPM Security Hub. Kebijakan konfigurasi memungkinkan administrator yang didelegasikan menentukan apakah CSPM Security Hub diaktifkan atau dinonaktifkan, dan standar serta kontrol mana yang diaktifkan atau dinonaktifkan. Mereka juga dapat digunakan untuk menyesuaikan parameter untuk kontrol tertentu.

Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Administrator yang didelegasikan menentukan Wilayah asal organisasi dan Wilayah yang ditautkan sebelum mulai menggunakan konfigurasi pusat. Menentukan Wilayah terkait adalah opsional. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi, atau membuat beberapa kebijakan konfigurasi untuk mengonfigurasi setelan variabel untuk akun yang berbeda danOUs.

**Tip**  
Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi CSPM Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut *konfigurasi lokal*. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Bagian ini memberikan gambaran umum tentang konfigurasi pusat.

## Manfaat menggunakan konfigurasi pusat
<a name="central-configuration-benefits"></a>

Manfaat konfigurasi pusat meliputi:

**Menyederhanakan konfigurasi layanan dan kemampuan CSPM Security Hub**  
Bila Anda menggunakan konfigurasi pusat, Security Hub CSPM memandu Anda melalui proses mengonfigurasi praktik terbaik keamanan untuk organisasi Anda. Ini juga menyebarkan kebijakan konfigurasi yang dihasilkan ke akun tertentu dan OUs secara otomatis. Jika Anda memiliki setelan CSPM Security Hub yang ada, seperti mengaktifkan kontrol keamanan baru secara otomatis, Anda dapat menggunakannya sebagai titik awal untuk kebijakan konfigurasi Anda. Selain itu, halaman **Konfigurasi** di konsol CSPM Security Hub menampilkan ringkasan real-time dari kebijakan konfigurasi Anda dan akun mana dan OUs menggunakan setiap kebijakan.

**Konfigurasikan di seluruh akun dan Wilayah**  
Anda dapat menggunakan konfigurasi pusat untuk mengonfigurasi CSPM Security Hub di beberapa akun dan Wilayah. Ini membantu memastikan bahwa setiap bagian dari organisasi Anda mempertahankan konfigurasi yang konsisten dan cakupan keamanan yang memadai.

**Mengakomodasi konfigurasi yang berbeda di akun yang berbeda dan OUs**  
Dengan konfigurasi pusat, Anda dapat memilih untuk mengonfigurasi akun organisasi Anda dan dengan OUs cara yang berbeda. Misalnya, akun pengujian dan akun produksi Anda mungkin memerlukan konfigurasi yang berbeda. Anda juga dapat membuat kebijakan konfigurasi yang mencakup akun baru saat mereka bergabung dengan organisasi.

**Mencegah penyimpangan konfigurasi**  
Penyimpangan konfigurasi terjadi ketika pengguna membuat perubahan pada layanan atau fitur yang bertentangan dengan pilihan administrator yang didelegasikan. Konfigurasi pusat mencegah penyimpangan ini. Saat Anda menetapkan akun atau OU sebagai dikelola secara terpusat, akun tersebut hanya dapat dikonfigurasi oleh administrator yang didelegasikan untuk organisasi. Jika Anda lebih suka akun tertentu atau OU untuk mengonfigurasi pengaturannya sendiri, Anda dapat menetapkannya sebagai dikelola sendiri.

## Kapan menggunakan konfigurasi pusat?
<a name="central-configuration-audience"></a>

Konfigurasi pusat paling bermanfaat untuk AWS lingkungan yang mencakup beberapa akun CSPM Security Hub. Ini dirancang untuk membantu Anda mengelola CSPM Security Hub secara terpusat untuk beberapa akun.

Anda dapat menggunakan konfigurasi pusat untuk mengonfigurasi layanan CSPM Security Hub, standar keamanan, dan kontrol keamanan. Anda juga dapat menggunakannya untuk menyesuaikan parameter kontrol tertentu. Untuk informasi selengkapnya tentang standar keamanan, lihat[Memahami standar keamanan di Security Hub CSPM](standards-view-manage.md). Untuk informasi selengkapnya tentang kontrol keamanan, lihat[Memahami kontrol keamanan di Security Hub CSPM](controls-view-manage.md).



## Istilah dan konsep konfigurasi pusat
<a name="central-configuration-concepts"></a>

Memahami istilah dan konsep utama berikut dapat membantu Anda menggunakan konfigurasi pusat CSPM Security Hub.

**Konfigurasi pusat**  
Fitur CSPM Security Hub yang membantu akun administrator CSPM Security Hub yang didelegasikan untuk organisasi mengonfigurasi layanan CSPM Security Hub, standar keamanan, dan kontrol keamanan di beberapa akun dan Wilayah. Untuk mengonfigurasi setelan ini, administrator yang didelegasikan membuat dan mengelola kebijakan konfigurasi CSPM Security Hub untuk akun yang dikelola secara terpusat di organisasinya. Akun yang dikelola sendiri dapat mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah. Untuk menggunakan konfigurasi pusat, Anda harus mengintegrasikan Security Hub CSPM dan. AWS Organizations

**Beranda Wilayah**  
 Wilayah AWS Dari mana administrator yang didelegasikan secara terpusat mengonfigurasi CSPM Security Hub, dengan membuat dan mengelola kebijakan konfigurasi. Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan.  
Wilayah asal juga berfungsi sebagai Wilayah agregasi CSPM Security Hub, menerima temuan, wawasan, dan data lainnya dari Wilayah terkait.  
Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Wilayah keikutsertaan tidak bisa menjadi Wilayah asal, tetapi bisa menjadi Wilayah terkait. *Untuk daftar Wilayah keikutsertaan, lihat [Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) di Panduan Referensi Manajemen Akun.AWS *

**Wilayah Tertaut**  
An Wilayah AWS yang dapat dikonfigurasi dari Wilayah asal. Kebijakan konfigurasi dibuat oleh administrator yang didelegasikan di Wilayah beranda. Kebijakan berlaku di Wilayah asal dan semua Wilayah terkait. Menentukan Wilayah terkait adalah opsional.  
Wilayah terkait juga mengirimkan temuan, wawasan, dan data lainnya ke Wilayah asal.  
Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Anda harus mengaktifkan Wilayah tersebut untuk akun sebelum kebijakan konfigurasi dapat diterapkan padanya. Akun manajemen Organisasi dapat mengaktifkan Wilayah keikutsertaan untuk akun anggota. Untuk informasi selengkapnya, lihat [Menentukan Wilayah AWS akun mana yang dapat digunakan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dalam *Panduan Referensi Manajemen AWS Akun*.

**Target**  
Sebuah Akun AWS, unit organisasi (OU), atau akar organisasi.

**Kebijakan konfigurasi CSPM Security Hub**  
Kumpulan setelan CSPM Security Hub yang dapat dikonfigurasi oleh administrator yang didelegasikan untuk target yang dikelola secara terpusat. Hal ini mencakup:  
+ Apakah akan mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Apakah akan mengaktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ [Kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Administrator yang didelegasikan dapat melakukan ini dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya (termasuk kontrol baru saat dirilis). Atau, administrator yang didelegasikan dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya (termasuk kontrol baru saat dirilis).
+ Secara opsional, [sesuaikan parameter](custom-control-parameters.md) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.
Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah tertaut setelah dikaitkan dengan setidaknya satu akun, unit organisasi (OU), atau root.  
Pada konsol CSPM Security Hub, administrator yang didelegasikan dapat memilih kebijakan konfigurasi yang direkomendasikan CSPM Security Hub atau membuat kebijakan konfigurasi khusus. Dengan Security Hub CSPM API dan AWS CLI, administrator yang didelegasikan hanya dapat membuat kebijakan konfigurasi kustom. Administrator yang didelegasikan dapat membuat maksimal 20 kebijakan konfigurasi kustom.  
Dalam kebijakan konfigurasi yang direkomendasikan, Security Hub CSPM, standar Praktik Terbaik Keamanan AWS Dasar (FSBP), dan semua kontrol FSBP yang ada dan yang baru diaktifkan. Kontrol yang menerima parameter menggunakan nilai default. Kebijakan konfigurasi yang disarankan berlaku untuk seluruh organisasi.  
Untuk menerapkan pengaturan berbeda ke organisasi, atau menerapkan kebijakan konfigurasi yang berbeda ke akun yang berbeda dan OUs, buat kebijakan konfigurasi khusus.

**Konfigurasi lokal**  
Jenis konfigurasi default untuk organisasi, setelah mengintegrasikan Security Hub CSPM dan. AWS Organizations Dengan konfigurasi lokal, administrator yang didelegasikan dapat memilih untuk mengaktifkan CSPM Security Hub secara otomatis dan [standar keamanan default](securityhub-auto-enabled-standards.md) di akun organisasi *baru* di Wilayah saat ini. Jika administrator yang didelegasikan secara otomatis mengaktifkan standar default, semua kontrol yang merupakan bagian dari standar ini juga diaktifkan secara otomatis dengan parameter default untuk akun organisasi baru. Pengaturan ini tidak berlaku untuk akun yang ada, jadi penyimpangan konfigurasi dimungkinkan setelah akun bergabung dengan organisasi. Menonaktifkan kontrol spesifik yang merupakan bagian dari standar default, dan mengonfigurasi standar dan kontrol tambahan, harus dilakukan secara terpisah di setiap akun dan Wilayah.  
Konfigurasi lokal tidak mendukung penggunaan kebijakan konfigurasi. Untuk menggunakan kebijakan konfigurasi, Anda harus beralih ke konfigurasi pusat.

**Manajemen akun manual**  
Jika Anda tidak mengintegrasikan CSPM Security Hub dengan AWS Organizations atau memiliki akun mandiri, Anda harus menentukan pengaturan untuk setiap akun secara terpisah di setiap Wilayah. Manajemen akun manual tidak mendukung penggunaan kebijakan konfigurasi.

**Konfigurasi pusat APIs**  
Operasi CSPM Security Hub yang hanya administrator CSPM Security Hub yang didelegasikan CSPM Security Hub yang dapat digunakan di Wilayah asal untuk mengelola kebijakan konfigurasi untuk akun yang dikelola secara terpusat. Operasi meliputi:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Khusus akun APIs**  
Operasi CSPM Security Hub yang dapat digunakan untuk mengaktifkan atau menonaktifkan Security Hub CSPM, standar, dan kontrol atas dasar. account-by-account Operasi ini digunakan di masing-masing Wilayah.  
Akun yang dikelola sendiri dapat menggunakan operasi khusus akun untuk mengonfigurasi pengaturan mereka sendiri. Akun yang dikelola secara terpusat tidak dapat menggunakan operasi khusus akun berikut di Wilayah asal dan Wilayah yang ditautkan. Di Wilayah tersebut, hanya administrator yang didelegasikan yang dapat mengonfigurasi akun yang dikelola secara terpusat melalui operasi konfigurasi pusat dan kebijakan konfigurasi.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Untuk memeriksa status akun, pemilik akun yang dikelola secara terpusat *dapat* menggunakan salah satu `Get` atau `Describe` operasi Security Hub CSPM API.  
Jika Anda menggunakan konfigurasi lokal atau manajemen akun manual, alih-alih konfigurasi pusat, operasi khusus akun ini dapat digunakan.  
Akun yang dikelola sendiri juga dapat digunakan `*Invitations` dan `*Members` dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

**Unit organisasi (OU)**  
Di AWS Organizations dan Security Hub CSPM, wadah untuk sekelompok. Akun AWS Unit organisasi (OU) juga dapat berisi yang lain OUs, memungkinkan Anda untuk membuat hierarki yang menyerupai pohon terbalik, dengan OU induk di bagian atas dan cabang-cabang OUs yang menjangkau ke bawah, berakhir dengan akun yang merupakan daun pohon. OU dapat memiliki tepat satu orang tua, dan setiap akun organisasi dapat menjadi anggota dari satu OU.  
Anda dapat mengelola OUs di AWS Organizations atau AWS Control Tower. Untuk informasi selengkapnya, lihat [Mengelola unit organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) dalam *Panduan AWS Organizations Pengguna* atau [Mengatur organisasi dan akun AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) di *Panduan AWS Control Tower Pengguna*.  
Administrator yang didelegasikan dapat mengaitkan kebijakan konfigurasi dengan akun tertentu atau OUs, atau dengan root untuk mencakup semua akun dan OUs dalam organisasi.

**Dikelola secara terpusat**  
Target yang hanya dapat dikonfigurasi oleh administrator yang didelegasikan di seluruh Wilayah dengan menggunakan kebijakan konfigurasi.  
Akun administrator yang didelegasikan menentukan apakah target dikelola secara terpusat. Administrator yang didelegasikan juga dapat mengubah status target dari yang dikelola secara terpusat menjadi dikelola sendiri, atau sebaliknya.

**Dikelola sendiri**  
Target yang mengelola pengaturan CSPM Security Hub sendiri. Target yang dikelola sendiri menggunakan operasi khusus akun untuk mengonfigurasi CSPM Security Hub untuk dirinya sendiri secara terpisah di setiap Wilayah. Ini berbeda dengan target yang dikelola secara terpusat, yang hanya dapat dikonfigurasi oleh administrator yang didelegasikan di seluruh Wilayah melalui kebijakan konfigurasi.  
Akun administrator yang didelegasikan menentukan apakah target dikelola sendiri. Administrator yang didelegasikan dapat menerapkan perilaku yang dikelola sendiri ke target. Atau, akun atau OU dapat mewarisi perilaku yang dikelola sendiri dari orang tua.  
Akun administrator yang didelegasikan itu sendiri dapat menjadi akun yang dikelola sendiri. Akun administrator yang didelegasikan dapat mengubah status target dari dikelola sendiri menjadi dikelola secara terpusat, atau sebaliknya.  


**Asosiasi kebijakan konfigurasi**  
Tautan antara kebijakan konfigurasi dan akun, unit organisasi (OU), atau root. Ketika asosiasi kebijakan ada, akun, OU, atau root menggunakan pengaturan yang ditentukan oleh kebijakan konfigurasi. Asosiasi ada dalam salah satu dari kasus ini:  
+ Ketika administrator yang didelegasikan secara langsung menerapkan kebijakan konfigurasi ke akun, OU, atau root
+ Ketika akun atau OU mewarisi kebijakan konfigurasi dari OU induk atau root
Asosiasi ada sampai konfigurasi yang berbeda diterapkan atau diwariskan.

**Kebijakan konfigurasi yang diterapkan**  
Jenis asosiasi kebijakan konfigurasi di mana administrator yang didelegasikan secara langsung menerapkan kebijakan konfigurasi ke akun target OUs, atau root. Target dikonfigurasi dengan cara yang ditentukan oleh kebijakan konfigurasi, dan hanya administrator yang didelegasikan yang dapat mengubah konfigurasinya. Jika diterapkan ke root, kebijakan konfigurasi memengaruhi semua akun dan OUs di organisasi yang tidak menggunakan konfigurasi berbeda melalui aplikasi atau warisan dari induk terdekat.  
Administrator yang didelegasikan juga dapat menerapkan konfigurasi yang dikelola sendiri ke akun tertentu, OUs, atau root.

**Kebijakan konfigurasi yang diwariskan**  
Jenis asosiasi kebijakan konfigurasi di mana akun atau OU mengadopsi konfigurasi OU induk terdekat atau root. Jika kebijakan konfigurasi tidak langsung diterapkan ke akun atau OU, kebijakan tersebut mewarisi konfigurasi induk terdekat. Semua elemen kebijakan diwariskan. Dengan kata lain, akun atau OU tidak dapat memilih untuk secara selektif mewarisi hanya bagian dari kebijakan. Jika orang tua terdekat dikelola sendiri, akun anak atau OU mewarisi perilaku yang dikelola sendiri dari orang tua.   
Warisan tidak dapat mengganti konfigurasi yang diterapkan. Artinya, jika kebijakan konfigurasi atau konfigurasi yang dikelola sendiri langsung diterapkan ke akun atau OU, ia menggunakan konfigurasi itu dan tidak mewarisi konfigurasi induk.

**Akar**  
Dalam AWS Organizations dan Security Hub CSPM, node induk tingkat atas dalam suatu organisasi. Jika administrator yang didelegasikan menerapkan kebijakan konfigurasi ke root, kebijakan tersebut dikaitkan dengan semua akun dan OUs di organisasi kecuali mereka menggunakan kebijakan yang berbeda, melalui aplikasi atau warisan, atau ditetapkan sebagai dikelola sendiri. Jika administrator menetapkan root sebagai dikelola sendiri, semua akun dan OUs dalam organisasi dikelola sendiri kecuali mereka menggunakan kebijakan konfigurasi melalui aplikasi atau warisan. Jika root dikelola sendiri dan tidak ada kebijakan konfigurasi saat ini, semua akun baru di organisasi akan mempertahankan pengaturannya saat ini.  
Akun baru yang bergabung dengan organisasi berada di bawah root sampai mereka ditugaskan ke OU tertentu. Jika akun baru tidak ditetapkan ke OU, akun tersebut mewarisi konfigurasi root kecuali administrator yang didelegasikan menetapkannya sebagai akun yang dikelola sendiri.

# Mengaktifkan konfigurasi pusat di Security Hub CSPM
<a name="start-central-configuration"></a>

Akun administrator CSPM AWS Security Hub yang didelegasikan dapat menggunakan konfigurasi pusat untuk mengonfigurasi CSPM, standar, dan kontrol Security Hub untuk beberapa akun dan unit organisasi () secara keseluruhan. OUs Wilayah AWS

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan prasyarat untuk konfigurasi pusat dan cara mulai menggunakannya.

## Prasyarat untuk konfigurasi pusat
<a name="prerequisites-central-configuration"></a>

Sebelum Anda dapat mulai menggunakan konfigurasi pusat, Anda harus mengintegrasikan Security Hub CSPM dengan AWS Organizations dan menunjuk Wilayah rumah. Jika Anda menggunakan konsol CSPM Security Hub, prasyarat ini disertakan dalam alur kerja opt-in untuk konfigurasi pusat.

### Integrasi dengan Organizations
<a name="orgs-integration-prereq"></a>

Anda harus mengintegrasikan Security Hub CSPM dan Organizations untuk menggunakan konfigurasi pusat.

Untuk mengintegrasikan layanan ini, Anda mulai dengan membuat organisasi di Organizations. Dari akun manajemen Organizations, Anda kemudian menunjuk akun administrator yang didelegasikan CSPM Security Hub. Untuk petunjuk, lihat [Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md).

Pastikan bahwa Anda menunjuk administrator yang didelegasikan di Wilayah **rumah yang dituju**. Ketika Anda mulai menggunakan konfigurasi pusat, administrator yang didelegasikan yang sama secara otomatis diatur di semua Wilayah tertaut juga. Akun manajemen Organisasi *tidak dapat* ditetapkan sebagai akun administrator yang didelegasikan.

**penting**  
Bila menggunakan konfigurasi pusat, Anda tidak dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM APIs untuk mengubah atau menghapus akun administrator yang didelegasikan. Jika akun manajemen Organizations digunakan AWS Organizations APIs untuk mengubah atau menghapus administrator delegasi CSPM Security Hub, CSPM Security Hub secara otomatis menghentikan konfigurasi pusat. Kebijakan konfigurasi Anda juga dipisahkan dan dihapus. Akun anggota mempertahankan konfigurasi yang mereka miliki sebelum administrator yang didelegasikan diubah atau dihapus.

### Tentukan Wilayah rumah
<a name="home-region-prereq"></a>

Anda harus menunjuk Wilayah rumah untuk menggunakan konfigurasi pusat. Wilayah asal adalah Wilayah tempat administrator yang didelegasikan mengkonfigurasi organisasi.

**catatan**  
Wilayah asal tidak dapat menjadi Wilayah yang AWS telah ditetapkan sebagai Wilayah keikutsertaan. Wilayah keikutsertaan dinonaktifkan secara default. *Untuk daftar Wilayah keikutsertaan, lihat [Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) di Panduan Referensi Manajemen Akun.AWS *

Secara opsional, Anda dapat menentukan satu atau beberapa Wilayah tertaut yang dapat dikonfigurasi dari Wilayah beranda.

Administrator yang didelegasikan dapat membuat dan mengelola kebijakan konfigurasi hanya dari Wilayah beranda. Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang hanya berlaku untuk subset Wilayah ini, dan bukan yang lain. Pengecualian untuk ini adalah kontrol yang melibatkan sumber daya global. Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Untuk informasi selengkapnya, lihat [Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

Wilayah asal juga merupakan Wilayah agregasi CSPM Security Hub Anda yang menerima temuan, wawasan, dan data lainnya dari Wilayah tertaut.

Jika Anda telah menetapkan Region agregasi untuk agregasi Cross-region, maka itu adalah Region home default Anda untuk konfigurasi pusat. Anda dapat mengubah Wilayah rumah sebelum mulai menggunakan konfigurasi pusat dengan menghapus agregator temuan Anda saat ini dan membuat yang baru di Wilayah rumah yang Anda inginkan. Agregator temuan adalah sumber daya CSPM Security Hub yang menentukan Wilayah asal dan Wilayah terkait.

Untuk menunjuk Wilayah asal, lihat [langkah-langkah untuk menyetel Wilayah agregasi](finding-aggregation-enable.md). Jika Anda sudah memiliki Wilayah beranda, Anda dapat memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API untuk melihat detailnya, termasuk Wilayah mana yang saat ini ditautkan dengannya.

## Petunjuk untuk mengaktifkan konfigurasi pusat
<a name="central-configuration-get-started"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan konfigurasi pusat untuk organisasi Anda.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan konfigurasi pusat (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, pilih **Pengaturan** dan **Konfigurasi**. Kemudian, pilih **Mulai konfigurasi pusat**.

   Jika Anda melakukan onboarding ke Security Hub CSPM, pilih **Buka CSPM Security Hub**.

1. Pada halaman **Administrator yang didelegasikan, pilih akun administrator** yang didelegasikan atau masukkan ID akunnya. Jika berlaku, sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya. Pilih **Setel administrator yang didelegasikan**.

1. Pada halaman **Sentralisasi organisasi**, di bagian **Wilayah**, pilih Wilayah rumah Anda. Anda harus masuk ke Wilayah asal untuk melanjutkan. Jika Anda telah menetapkan Region agregasi untuk agregasi Lintas wilayah, itu akan ditampilkan sebagai Wilayah beranda. Untuk mengubah wilayah beranda, pilih **Edit pengaturan Wilayah**. Anda kemudian dapat memilih Wilayah rumah pilihan Anda dan kembali ke alur kerja ini.

1. Pilih setidaknya satu Wilayah untuk ditautkan ke Wilayah asal. Secara opsional, pilih apakah Anda ingin secara otomatis menautkan Wilayah yang didukung future ke Wilayah asal. Wilayah yang Anda pilih di sini akan dapat dikonfigurasi dari Wilayah asal oleh administrator yang didelegasikan. Kebijakan konfigurasi berlaku di Wilayah asal Anda dan semua Wilayah yang ditautkan.

1. Pilih **Konfirmasi dan lanjutkan**.

1.  Anda sekarang dapat menggunakan konfigurasi pusat. Lanjutkan mengikuti petunjuk konsol untuk membuat kebijakan konfigurasi pertama Anda. Jika Anda belum siap untuk membuat kebijakan konfigurasi, pilih **Saya belum siap untuk mengonfigurasi**. Anda dapat membuat kebijakan nanti dengan memilih **Pengaturan** dan **Konfigurasi** di panel navigasi. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan konfigurasi pusat (API)**

1. Menggunakan kredensional akun administrator yang didelegasikan, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dari Wilayah beranda.

1. Atur `AutoEnable` bidang ke`false`.

1. Atur `ConfigurationType` bidang di `OrganizationConfiguration` objek ke`CENTRAL`. Tindakan ini memiliki dampak sebagai berikut:
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub di semua Wilayah yang ditautkan.
   + Mengaktifkan CSPM Security Hub di akun administrator yang didelegasikan di semua Wilayah yang ditautkan.
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub CSPM dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah yang terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika akun tersebut sudah mengaktifkan CSPM Security Hub.
   + Setel [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)ke `false` semua Wilayah tertaut, dan disetel [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)ke `NONE` Wilayah asal dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

1. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**Contoh permintaan API:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Untuk mengaktifkan konfigurasi pusat (AWS CLI)**

1. Menggunakan kredensi akun administrator yang didelegasikan, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)perintah dari wilayah rumah.

1. Sertakan `no-auto-enable` parameternya.

1. Atur `ConfigurationType` bidang di `organization-configuration` objek ke`CENTRAL`. Tindakan ini memiliki dampak sebagai berikut:
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub di semua Wilayah yang ditautkan.
   + Mengaktifkan CSPM Security Hub di akun administrator yang didelegasikan di semua Wilayah yang ditautkan.
   + Menetapkan akun panggilan sebagai administrator yang didelegasikan CSPM Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub CSPM dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah yang terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika akun tersebut sudah mengaktifkan CSPM Security Hub.
   + Menetapkan opsi pengaktifan otomatis ke [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)semua Wilayah yang ditautkan, dan disetel [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)ke Wilayah `NONE` beranda dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

1. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**Contoh perintah:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Target yang dikelola secara terpusat versus yang dikelola sendiri
<a name="central-configuration-management-type"></a>

*Saat Anda mengaktifkan konfigurasi pusat, administrator CSPM AWS Security Hub yang didelegasikan dapat menetapkan setiap akun organisasi, unit organisasi (OU), dan root sebagai dikelola secara *terpusat* atau dikelola sendiri.* Jenis manajemen target menentukan bagaimana Anda dapat menentukan pengaturan CSPM Security Hub.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan perbedaan antara penunjukan yang dikelola secara terpusat dan dikelola sendiri dan bagaimana memilih jenis manajemen akun, OU, atau root.

**Dikelola sendiri**  
Pemilik akun yang dikelola sendiri, OU, atau root harus mengonfigurasi pengaturannya secara terpisah di masing-masing Wilayah AWS akun. Administrator yang didelegasikan tidak dapat membuat kebijakan konfigurasi untuk target yang dikelola sendiri.

**Dikelola secara terpusat**  
Hanya administrator CSPM Security Hub yang didelegasikan yang dapat mengonfigurasi pengaturan untuk akun yang dikelola secara terpusat OUs, atau root di seluruh Wilayah beranda dan Wilayah yang ditautkan. Kebijakan konfigurasi dapat dikaitkan dengan akun yang dikelola secara terpusat dan OUs.

Administrator yang didelegasikan dapat mengubah status target antara dikelola sendiri dan dikelola secara terpusat. Secara default, semua akun dan OU dikelola sendiri saat Anda memulai konfigurasi pusat melalui Security Hub CSPM API. Di konsol, jenis manajemen bergantung pada kebijakan konfigurasi pertama Anda. Akun dan OUs yang Anda kaitkan dengan kebijakan pertama Anda dikelola secara terpusat. Akun lain dan OUs dikelola sendiri secara default.

Jika Anda mengaitkan kebijakan konfigurasi dengan akun yang dikelola sendiri sebelumnya, setelan kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Jika Anda mengubah akun yang dikelola secara terpusat menjadi akun yang dikelola sendiri, pengaturan yang sebelumnya diterapkan ke akun melalui kebijakan konfigurasi tetap berlaku. Misalnya, akun yang dikelola secara terpusat pada awalnya dapat dikaitkan dengan kebijakan yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan dinonaktifkan .1. CloudTrail Jika Anda kemudian menetapkan akun sebagai dikelola sendiri, semua pengaturan tetap tidak berubah. Namun, pemilik akun dapat secara mandiri mengubah pengaturan untuk akun ke depan.

Akun anak dan OUs dapat mewarisi perilaku yang dikelola sendiri dari induk yang dikelola sendiri, dengan cara yang sama seperti akun anak dan OUs dapat mewarisi kebijakan konfigurasi dari induk yang dikelola secara terpusat. Untuk informasi selengkapnya, lihat [Asosiasi kebijakan melalui aplikasi dan warisan](configuration-policies-overview.md#policy-association).

Akun yang dikelola sendiri atau OU tidak dapat mewarisi kebijakan konfigurasi dari node induk atau dari root. Misalnya, jika Anda ingin semua akun dan OUs organisasi Anda mewarisi kebijakan konfigurasi dari root, Anda harus mengubah jenis manajemen node yang dikelola sendiri menjadi dikelola secara terpusat.

## Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiri
<a name="self-managed-settings"></a>

Akun yang dikelola sendiri harus mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah.

Pemilik akun yang dikelola sendiri dapat menjalankan operasi API CSPM Security Hub berikut di setiap Wilayah untuk mengonfigurasi pengaturan mereka:
+ `EnableSecurityHub`dan `DisableSecurityHub` untuk mengaktifkan atau menonaktifkan layanan CSPM Security Hub (jika akun yang dikelola sendiri memiliki administrator CSPM Security Hub yang didelegasikan, administrator [harus memisahkan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) akun sebelum pemilik akun dapat menonaktifkan CSPM Security Hub).
+ `BatchEnableStandards`dan `BatchDisableStandards` untuk mengaktifkan atau menonaktifkan standar
+ `BatchUpdateStandardsControlAssociations`atau `UpdateStandardsControl` untuk mengaktifkan atau menonaktifkan kontrol

Akun yang dikelola sendiri juga dapat digunakan `*Invitations` dan `*Members` dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

Untuk deskripsi tindakan API CSPM Security Hub, lihat Referensi API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Akun yang dikelola sendiri juga dapat menggunakan konsol CSPM Security Hub atau AWS CLI untuk mengonfigurasi pengaturannya di setiap Wilayah.

Akun yang dikelola sendiri tidak dapat memanggil kebijakan konfigurasi dan APIs asosiasi kebijakan CSPM Security Hub. Hanya administrator yang didelegasikan yang dapat memanggil konfigurasi pusat APIs dan menggunakan kebijakan konfigurasi untuk mengonfigurasi akun yang dikelola secara terpusat.

## Memilih jenis manajemen target
<a name="choose-management-type"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menetapkan akun atau OU sebagai dikelola secara terpusat atau dikelola sendiri di AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Untuk memilih jenis manajemen akun atau OU**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Pilih **Konfigurasi**.

1. Pada tab **Organisasi**, pilih akun target atau OU. Pilih **Edit**.

1. Pada halaman **Tentukan konfigurasi**, untuk **tipe Manajemen**, pilih **Dikelola secara terpusat** jika Anda ingin administrator yang didelegasikan mengonfigurasi akun target atau OU. Kemudian, pilih **Terapkan kebijakan tertentu** jika Anda ingin mengaitkan kebijakan konfigurasi yang ada dengan target. Pilih **Mewarisi dari organisasi saya** jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Pilih **Self-managed** jika Anda ingin akun atau OU untuk mengkonfigurasi pengaturan sendiri.

1. Pilih **Berikutnya**. Tinjau perubahan Anda, dan pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

**Untuk memilih jenis manajemen akun atau OU**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1. Untuk `ConfigurationPolicyIdentifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan mengontrol pengaturan untuk akun atau OU.

1. Untuk `Target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh permintaan API untuk menunjuk akun yang dikelola sendiri:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Untuk memilih jenis manajemen akun atau OU**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1. Untuk `configuration-policy-identifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU..

1. Untuk `target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh perintah untuk menunjuk akun yang dikelola sendiri:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Cara kerja kebijakan konfigurasi di Security Hub CSPM
<a name="configuration-policies-overview"></a>

Administrator CSPM AWS Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi CSPM Security Hub, standar keamanan, dan kontrol keamanan untuk organisasi. Setelah membuat kebijakan konfigurasi, administrator yang didelegasikan dapat mengaitkannya dengan akun tertentu, unit organisasi (OUs), atau root. Kebijakan tersebut kemudian berlaku di akun yang ditentukan, OUs, atau root.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini memberikan gambaran rinci tentang kebijakan konfigurasi.

## Pertimbangan kebijakan
<a name="configuration-policies-considerations"></a>

Sebelum Anda membuat kebijakan konfigurasi di Security Hub CSPM, pertimbangkan detail berikut.
+ **Kebijakan konfigurasi harus dikaitkan agar berlaku** — Setelah membuat kebijakan konfigurasi, Anda dapat mengaitkannya dengan satu atau beberapa akun, unit organisasi (OUs), atau root. Kebijakan konfigurasi dapat dikaitkan dengan akun atau OUs melalui aplikasi langsung, atau melalui warisan dari OU induk.
+ **Akun atau OU hanya dapat dikaitkan dengan satu kebijakan konfigurasi** — Untuk mencegah pengaturan yang bertentangan, akun atau OU hanya dapat dikaitkan dengan satu kebijakan konfigurasi pada waktu tertentu. Atau, akun atau OU dapat dikelola sendiri.
+ **Kebijakan konfigurasi selesai** — Kebijakan konfigurasi menyediakan spesifikasi pengaturan yang lengkap. Misalnya, akun anak tidak dapat menerima pengaturan untuk beberapa kontrol dari satu kebijakan dan pengaturan untuk kontrol lain dari kebijakan lain. Saat Anda mengaitkan kebijakan dengan akun anak, pastikan kebijakan tersebut menentukan semua setelan yang ingin digunakan oleh akun anak tersebut.
+ **Kebijakan konfigurasi tidak dapat dikembalikan** — Tidak ada opsi untuk mengembalikan kebijakan konfigurasi setelah Anda mengaitkannya dengan akun atau. OUs Misalnya, jika Anda mengaitkan kebijakan konfigurasi yang menonaktifkan CloudWatch kontrol dengan akun tertentu, lalu memisahkan kebijakan tersebut, CloudWatch kontrol akan terus dinonaktifkan di akun tersebut. Untuk mengaktifkan CloudWatch kontrol lagi, Anda dapat mengaitkan akun dengan kebijakan baru yang memungkinkan kontrol. Atau, Anda dapat mengubah akun menjadi dikelola sendiri dan mengaktifkan setiap CloudWatch kontrol di akun.
+ **Kebijakan konfigurasi berlaku di Wilayah asal Anda dan semua Wilayah tertaut** — Kebijakan konfigurasi memengaruhi semua akun terkait di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang berlaku hanya di beberapa Wilayah ini dan bukan yang lain. Pengecualian untuk ini adalah [kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal.

  Wilayah yang AWS diperkenalkan pada atau setelah 20 Maret 2019 dikenal sebagai Wilayah keikutsertaan. Anda harus mengaktifkan Wilayah tersebut untuk akun sebelum kebijakan konfigurasi berlaku di sana. Akun manajemen Organisasi dapat mengaktifkan Wilayah keikutsertaan untuk akun anggota. Untuk petunjuk tentang mengaktifkan Wilayah keikutsertaan, lihat [Menentukan Wilayah AWS akun mana yang dapat digunakan dalam Panduan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) *Referensi Manajemen AWS Akun*.

  Jika kebijakan Anda mengonfigurasi kontrol yang tidak tersedia di Wilayah beranda atau satu atau beberapa Wilayah tertaut, CSPM Security Hub akan melewatkan konfigurasi kontrol di Wilayah yang tidak tersedia tetapi menerapkan konfigurasi di Wilayah tempat kontrol tersedia. Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.
+ **Kebijakan konfigurasi adalah sumber daya** — Sebagai sumber daya, kebijakan konfigurasi memiliki Nama Sumber Daya Amazon (ARN) dan pengenal unik universal (UUID). ARN menggunakan format berikut:. `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Konfigurasi yang dikelola sendiri tidak memiliki ARN atau UUID. Pengidentifikasi untuk konfigurasi yang dikelola sendiri adalah. `SELF_MANAGED_SECURITY_HUB`

## Jenis kebijakan konfigurasi
<a name="policy-types"></a>

Setiap kebijakan konfigurasi menentukan setelan berikut:
+ Mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Aktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ Tunjukkan [kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Anda dapat melakukannya dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis. Atau, Anda dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis.
+ Secara opsional, [sesuaikan parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.

Kebijakan konfigurasi pusat tidak menyertakan pengaturan AWS Config perekam. Anda harus mengaktifkan AWS Config dan mengaktifkan perekaman secara terpisah untuk sumber daya yang diperlukan agar CSPM Security Hub menghasilkan temuan kontrol. Untuk informasi selengkapnya, lihat [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.

Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.

Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

### Kebijakan konfigurasi yang disarankan
<a name="recommended-policy"></a>

Saat membuat kebijakan konfigurasi untuk *pertama kalinya di konsol CSPM Security Hub*, Anda memiliki opsi untuk memilih kebijakan yang direkomendasikan CSPM Security Hub.

Kebijakan yang direkomendasikan memungkinkan Security Hub CSPM, standar AWS Foundational Security Best Practices (FSBP), dan semua kontrol FSBP yang ada dan yang baru. Kontrol yang menerima parameter menggunakan nilai default. Kebijakan yang disarankan berlaku untuk root (semua akun dan OUs, baik yang baru maupun yang sudah ada). Setelah membuat kebijakan yang disarankan untuk organisasi, Anda dapat memodifikasinya dari akun administrator yang didelegasikan. Misalnya, Anda dapat mengaktifkan standar atau kontrol tambahan atau menonaktifkan kontrol FSBP tertentu. Untuk petunjuk tentang memodifikasi kebijakan konfigurasi, lihat[Memperbarui kebijakan konfigurasi](update-policy.md).

### Kebijakan konfigurasi kustom
<a name="custom-policy"></a>

Alih-alih kebijakan yang disarankan, administrator yang didelegasikan dapat membuat hingga 20 kebijakan konfigurasi kustom. Anda dapat mengaitkan satu kebijakan kustom dengan seluruh organisasi Anda atau kebijakan kustom yang berbeda dengan akun yang berbeda dan OUs. Untuk kebijakan konfigurasi kustom, Anda menentukan pengaturan yang Anda inginkan. Misalnya, Anda dapat membuat kebijakan khusus yang memungkinkan FSBP, Tolok Ukur AWS Yayasan Center for Internet Security (CIS) v1.4.0, dan semua kontrol dalam standar tersebut kecuali kontrol Amazon Redshift. Tingkat perincian yang Anda gunakan dalam kebijakan konfigurasi khusus bergantung pada cakupan cakupan keamanan yang dimaksudkan di seluruh organisasi Anda.

**catatan**  
Anda tidak dapat mengaitkan kebijakan konfigurasi yang menonaktifkan CSPM Security Hub dengan akun administrator yang didelegasikan. Kebijakan semacam itu dapat dikaitkan dengan akun lain tetapi melewatkan asosiasi dengan administrator yang didelegasikan. Akun administrator yang didelegasikan mempertahankan konfigurasi saat ini.

Setelah membuat kebijakan konfigurasi kustom, Anda dapat beralih ke kebijakan konfigurasi yang disarankan dengan memperbarui kebijakan konfigurasi untuk mencerminkan konfigurasi yang disarankan. Namun, Anda tidak melihat pilihan untuk membuat kebijakan konfigurasi yang disarankan di konsol CSPM Security Hub setelah kebijakan pertama Anda dibuat.

## Asosiasi kebijakan melalui aplikasi dan warisan
<a name="policy-association"></a>

Saat Anda pertama kali ikut serta dalam konfigurasi pusat, organisasi Anda tidak memiliki asosiasi dan berperilaku dengan cara yang sama seperti sebelum ikut serta. Administrator yang didelegasikan kemudian dapat membuat asosiasi antara kebijakan konfigurasi atau perilaku dan akun yang dikelola sendiri OUs, atau root. Asosiasi dapat dibentuk melalui *aplikasi* atau *warisan*.

Dari akun administrator yang didelegasikan, Anda dapat langsung menerapkan kebijakan konfigurasi ke akun, OU, atau root. Atau, administrator yang didelegasikan dapat langsung menerapkan penunjukan yang dikelola sendiri ke akun, OU, atau root.

Dengan tidak adanya aplikasi langsung, akun atau OU mewarisi pengaturan induk terdekat yang memiliki kebijakan konfigurasi atau perilaku yang dikelola sendiri. Jika induk terdekat dikaitkan dengan kebijakan konfigurasi, anak mewarisi kebijakan tersebut dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan dari Wilayah beranda. Jika orang tua terdekat dikelola sendiri, anak mewarisi perilaku yang dikelola sendiri dan memiliki kemampuan untuk menentukan pengaturannya sendiri di masing-masing. Wilayah AWS

Aplikasi lebih diutamakan daripada warisan. Dengan kata lain, pewarisan tidak mengesampingkan kebijakan konfigurasi atau penunjukan yang dikelola sendiri yang telah diterapkan langsung oleh administrator yang didelegasikan ke akun atau OU.

Jika Anda langsung menerapkan kebijakan konfigurasi ke akun yang dikelola sendiri, kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Kami merekomendasikan langsung menerapkan kebijakan konfigurasi ke root. Jika Anda menerapkan kebijakan ke root, maka akun baru yang bergabung dengan organisasi Anda akan secara otomatis mewarisi kebijakan root kecuali Anda mengaitkannya dengan kebijakan yang berbeda atau menunjuknya sebagai dikelola sendiri.

Hanya satu kebijakan konfigurasi yang dapat dikaitkan dengan akun atau OU pada waktu tertentu, baik melalui aplikasi atau warisan. Ini dirancang untuk mencegah pengaturan yang bertentangan.

Diagram berikut menggambarkan bagaimana aplikasi kebijakan dan pewarisan bekerja dalam konfigurasi pusat.

![\[Menerapkan dan mewarisi kebijakan konfigurasi CSPM Security Hub\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


Dalam contoh ini, node yang disorot dengan warna hijau memiliki kebijakan konfigurasi yang telah diterapkan padanya. Node yang disorot dengan warna biru tidak memiliki kebijakan konfigurasi yang telah diterapkan padanya. Sebuah simpul yang disorot dengan warna kuning telah ditetapkan sebagai dikelola sendiri. Setiap akun dan OU menggunakan konfigurasi berikut:
+ **OU:root (Green)** - OU ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **OU:prod (Blue)** - OU ini mewarisi kebijakan konfigurasi dari ou:Root.
+ **OU: Applications (Green)** - OU ini menggunakan kebijakan konfigurasi yang telah diterapkan untuk itu.
+ **Akun 1 (Hijau)** — Akun ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **Akun 2 (Biru)** — Akun ini mewarisi kebijakan konfigurasi dari OU: Aplikasi.
+ **OU: dev (Kuning)** - OU ini dikelola sendiri.
+ **Akun 3 (Hijau)** — Akun ini menggunakan kebijakan konfigurasi yang telah diterapkan padanya.
+ **Akun 4 (Biru)** — Akun ini mewarisi perilaku yang dikelola sendiri dari OU: dev.
+ **OU:test (Biru)** - Akun ini mewarisi kebijakan konfigurasi dari OU:root.
+ **Akun 5 (Biru)** — Akun ini mewarisi kebijakan konfigurasi dari OU:root karena induk langsungnya, ou:Test, tidak terkait dengan kebijakan konfigurasi.

## Menguji kebijakan konfigurasi
<a name="test-policy"></a>

Untuk memastikan Anda memahami cara kerja kebijakan konfigurasi, sebaiknya buat satu kebijakan dan kaitkan dengan akun pengujian atau OU.

**Untuk menguji kebijakan konfigurasi**

1. Buat kebijakan konfigurasi khusus, dan verifikasi bahwa pengaturan yang ditentukan untuk pengaktifan, standar, dan kontrol CSPM Security Hub sudah benar. Untuk petunjuk, lihat [Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

1. Menerapkan kebijakan konfigurasi ke akun pengujian atau OU yang tidak memiliki akun turunan atau OUs.

1. Verifikasi bahwa akun pengujian atau OU menggunakan kebijakan konfigurasi dengan cara yang diharapkan di Wilayah asal Anda dan semua Wilayah yang ditautkan. Anda juga dapat memverifikasi bahwa semua akun lain dan OUs di organisasi Anda tetap dikelola sendiri dan dapat mengubah pengaturan mereka sendiri di setiap Wilayah.

Setelah menguji kebijakan konfigurasi dalam satu akun atau OU, Anda dapat mengaitkannya dengan akun lain dan OUs.

# Membuat dan mengaitkan kebijakan konfigurasi
<a name="create-associate-policy"></a>

Akun administrator CSPM AWS Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi yang menentukan cara CSPM, standar, dan kontrol Security Hub dikonfigurasi dalam akun tertentu dan unit organisasi (). OUs Kebijakan konfigurasi berlaku hanya setelah administrator yang didelegasikan mengaitkannya dengan setidaknya satu akun atau unit organisasi (OUs), atau root. Administrator yang didelegasikan juga dapat mengaitkan konfigurasi yang dikelola sendiri dengan akun, OUs, atau root.

Jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, sebaiknya [Cara kerja kebijakan konfigurasi di Security Hub CSPM](configuration-policies-overview.md) tinjau terlebih dahulu.

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk membuat dan mengaitkan kebijakan konfigurasi atau konfigurasi yang dikelola sendiri. Saat menggunakan konsol CSPM Security Hub, Anda dapat mengaitkan konfigurasi dengan beberapa akun atau OUs pada saat yang bersamaan. Saat menggunakan Security Hub CSPM API atau AWS CLI, Anda dapat mengaitkan konfigurasi dengan hanya satu akun atau OU di setiap permintaan.

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Konfigurasi** dan tab **Kebijakan**. Kemudian, pilih **Buat kebijakan**.

1. Pada halaman **Konfigurasi organisasi**, jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, Anda akan melihat tiga opsi di bawah **Jenis konfigurasi**. Jika Anda telah membuat setidaknya satu kebijakan konfigurasi, Anda hanya melihat opsi **Kebijakan kustom**.
   + Pilih **Gunakan konfigurasi CSPM Security Hub yang AWS direkomendasikan di seluruh organisasi saya** untuk menggunakan kebijakan yang kami rekomendasikan. Kebijakan yang direkomendasikan memungkinkan CSPM Security Hub di semua akun organisasi, mengaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP), dan memungkinkan semua kontrol FSBP baru dan yang sudah ada. Kontrol menggunakan nilai parameter default.
   + Pilih **Saya belum siap untuk mengonfigurasi** untuk membuat kebijakan konfigurasi nanti.
   + Pilih **Kebijakan khusus** untuk membuat kebijakan konfigurasi kustom. Tentukan apakah akan mengaktifkan atau menonaktifkan CSPM Security Hub, standar mana yang akan diaktifkan, dan kontrol mana yang akan diaktifkan di seluruh standar tersebut. Secara opsional, tentukan [nilai parameter khusus](custom-control-parameters.md) untuk satu atau beberapa kontrol yang diaktifkan yang mendukung parameter kustom.

1. Di bagian **Akun**, pilih akun target OUs, atau root yang Anda inginkan untuk diterapkan oleh kebijakan konfigurasi Anda.
   + Pilih **Semua akun** jika Anda ingin menerapkan kebijakan konfigurasi ke root. Ini termasuk semua akun dan OUs di organisasi yang tidak memiliki kebijakan lain yang diterapkan atau diwariskan.
   + Pilih **Akun khusus** jika Anda ingin menerapkan kebijakan konfigurasi ke akun tertentu atau OUs. Masukkan akun IDs, atau pilih akun dan OUs dari struktur organisasi. Anda dapat menerapkan kebijakan ke maksimal 15 target (akun OUs, atau root) saat Anda membuatnya. Untuk menentukan angka yang lebih besar, edit kebijakan Anda setelah dibuat, dan terapkan ke target tambahan.
   + Pilih **Administrator yang didelegasikan hanya** untuk menerapkan kebijakan konfigurasi ke akun administrator yang didelegasikan saat ini.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan terapkan**, tinjau detail kebijakan konfigurasi Anda. Kemudian, pilih **Buat kebijakan dan terapkan**. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk. Akun turunan dan target OUs yang diterapkan akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali secara khusus dikecualikan, dikelola sendiri, atau menggunakan kebijakan konfigurasi yang berbeda.

------
#### [ Security Hub CSPM API ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1. Untuk`Name`, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untuk`Description`, berikan deskripsi untuk kebijakan konfigurasi.

1. Untuk `ServiceEnabled` bidang, tentukan apakah Anda ingin CSPM Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

1. Untuk `EnabledStandardIdentifiers` bidang, tentukan standar CSPM Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

1. Untuk `SecurityControlsConfiguration` objek, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih `EnabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih `DisabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

1. Secara opsional, untuk `SecurityControlCustomParameters` bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan `CUSTOM` `ValueType` bidang dan nilai parameter khusus untuk `Value` bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub CSPM. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

1. Untuk menerapkan kebijakan konfigurasi Anda ke akun atau OUs, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `ConfigurationPolicyIdentifier` bidang ini, berikan Nama Sumber Daya Amazon (ARN) atau pengenal unik universal (UUID) kebijakan. ARN dan UUID dikembalikan oleh API. `CreateConfigurationPolicy` Untuk konfigurasi yang dikelola sendiri, `ConfigurationPolicyIdentifier` bidangnya sama dengan`SELF_MANAGED_SECURITY_HUB`.

1. Untuk `Target` bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target di setiap permintaan API. Akun turunan dan target OUs yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali akun tersebut dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

**Contoh permintaan API untuk membuat kebijakan konfigurasi:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Contoh permintaan API untuk mengaitkan kebijakan konfigurasi:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Untuk membuat dan mengaitkan kebijakan konfigurasi**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1. Untuk`name`, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untuk`description`, berikan deskripsi untuk kebijakan konfigurasi.

1. Untuk `ServiceEnabled` bidang, tentukan apakah Anda ingin CSPM Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

1. Untuk `EnabledStandardIdentifiers` bidang, tentukan standar CSPM Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

1. Untuk `SecurityControlsConfiguration` bidang, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih `EnabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih `DisabledSecurityControlIdentifiers` berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang berlaku untuk standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

1. Secara opsional, untuk `SecurityControlCustomParameters` bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan `CUSTOM` `ValueType` bidang dan nilai parameter khusus untuk `Value` bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub CSPM. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

1. Untuk menerapkan kebijakan konfigurasi Anda ke akun atau OUs, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `configuration-policy-identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi. ARN dan ID ini dikembalikan oleh perintah. `create-configuration-policy`

1. Untuk `target` bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target setiap kali Anda menjalankan perintah. Anak-anak dari target yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali mereka dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

**Contoh perintah untuk membuat kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Contoh perintah untuk mengaitkan kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

`StartConfigurationPolicyAssociation`API mengembalikan bidang yang disebut`AssociationStatus`. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILURE`. Untuk informasi selengkapnya tentang status asosiasi, lihat[Meninjau status asosiasi kebijakan konfigurasi](view-policy.md#configuration-association-status).

# Meninjau status dan detail kebijakan konfigurasi
<a name="view-policy"></a>

Administrator CSPM AWS Security Hub yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

------
#### [ Security Hub CSPM console ]

**Untuk melihat kebijakan konfigurasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan** untuk ikhtisar kebijakan konfigurasi Anda.

1. Pilih kebijakan konfigurasi, dan pilih **Lihat detail** untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

------
#### [ Security Hub CSPM API ]

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)pengoperasian API CSPM Security Hub. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)perintah. Akun administrator CSPM Security Hub yang didelegasikan harus menjalankan operasi di Wilayah asal.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Untuk melihat detail tentang kebijakan konfigurasi tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akun mereka, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Untuk melihat asosiasi untuk akun tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Untuk`target`, berikan nomor akun, ID OU, atau ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Meninjau status asosiasi kebijakan konfigurasi
<a name="configuration-association-status"></a>

Operasi API konfigurasi pusat berikut mengembalikan bidang yang disebut`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai `AssociationStatus` memberi tahu Anda apakah asosiasi kebijakan tertunda atau dalam keadaan berhasil atau gagal untuk akun tertentu. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILED`. Status `SUCCESS` berarti bahwa semua pengaturan yang ditentukan dalam kebijakan konfigurasi dikaitkan dengan akun. Status `FAILED` berarti bahwa satu atau beberapa pengaturan yang ditentukan dalam kebijakan konfigurasi gagal dikaitkan dengan akun. Meskipun `FAILED` status, akun dapat dikonfigurasi sebagian sesuai dengan kebijakan. Misalnya, Anda dapat mencoba mengaitkan akun dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan menonaktifkan.1. CloudTrail Dua pengaturan awal bisa berhasil, tetapi pengaturan CloudTrail .1 bisa gagal. Dalam contoh ini, status asosiasi `FAILED` meskipun beberapa pengaturan telah dikonfigurasi dengan benar.

Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalah`SUCCESS`, status asosiasi orang tua adalah`SUCCESS`. Jika status asosiasi satu atau lebih anak adalah`FAILED`, status asosiasi orang tua adalah`FAILED`.

Nilai `AssociationStatus` tergantung pada status asosiasi kebijakan di semua Wilayah terkait. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya `AssociationStatus` adalah`SUCCESS`. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya `AssociationStatus` adalah`FAILED`.

Perilaku berikut juga berdampak pada nilai`AssociationStatus`:
+ Jika targetnya adalah OU orang tua atau root, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya ketika semua anak memiliki `FAILED` status `SUCCESS` atau. Jika status asosiasi akun turunan atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda menjalankan `StartConfigurationPolicyAssociation` API lagi.
+ Jika targetnya adalah akun, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya jika asosiasi memiliki hasil dari `SUCCESS` atau `FAILED` di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggil `StartConfigurationPolicyAssociation` API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub CSPM mereplikasi asosiasi Anda yang ada di`PENDING`,`SUCCESS`, atau `FAILED` negara bagian di Wilayah baru.

Bahkan ketika status asosiasi adalah`SUCCESS`, status pemberdayaan standar yang merupakan bagian dari kebijakan dapat beralih ke keadaan yang tidak lengkap. Dalam hal ini, Security Hub CSPM tidak dapat menghasilkan temuan untuk kontrol standar. Untuk informasi selengkapnya, lihat [Memeriksa status standar](enable-standards.md#standard-subscription-status).

## Memecahkan masalah kegagalan asosiasi
<a name="failed-association-reasons"></a>

Di AWS Security Hub CSPM, asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut.
+ **Akun manajemen Organisasi bukan anggota** — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organizations, akun tersebut harus sudah mengaktifkan AWS Security Hub CSPM. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.
+ **AWS Config tidak diaktifkan atau dikonfigurasi dengan benar** — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.
+ **Harus dikaitkan dari akun administrator yang didelegasikan** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator CSPM Security Hub yang didelegasikan.
+ **Harus dikaitkan dari wilayah asal** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal Anda.
+ **Keikutsertaan Wilayah tidak diaktifkan** — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.
+ **Akun anggota ditangguhkan** — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.

# Memperbarui kebijakan konfigurasi
<a name="update-policy"></a>

Setelah membuat kebijakan konfigurasi, akun administrator CSPM AWS Security Hub yang didelegasikan dapat memperbarui detail kebijakan dan asosiasi kebijakan. Saat detail kebijakan diperbarui, akun yang terkait dengan kebijakan konfigurasi secara otomatis mulai menggunakan kebijakan yang diperbarui.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Administrator yang didelegasikan dapat memperbarui setelan kebijakan berikut:
+ Mengaktifkan atau menonaktifkan Security Hub CSPM.
+ Aktifkan satu atau lebih [standar keamanan](standards-reference.md).
+ Tunjukkan [kontrol keamanan](securityhub-controls-reference.md) mana yang diaktifkan di seluruh standar yang diaktifkan. Anda dapat melakukannya dengan menyediakan daftar kontrol khusus yang harus diaktifkan, dan Security Hub CSPM menonaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis. Atau, Anda dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub CSPM mengaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis.
+ Secara opsional, [sesuaikan parameter](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memperbarui kebijakan konfigurasi.

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk daftar kontrol yang melibatkan sumber daya global, lihat[Kontrol yang menggunakan sumber daya global](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Untuk memperbarui kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**.

1. Pilih kebijakan konfigurasi yang ingin Anda edit, lalu pilih **Edit**. Jika diinginkan, edit pengaturan kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga pengaturan kebijakan tidak berubah.

1. Pilih **Berikutnya**. Jika diinginkan, edit asosiasi kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga agar asosiasi kebijakan tidak berubah. Anda dapat mengaitkan atau memisahkan kebijakan dengan maksimal 15 target (akun OUs, atau root) saat Anda memperbaruinya. 

1. Pilih **Berikutnya**.

1. Tinjau perubahan Anda, lalu pilih **Simpan dan terapkan**. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan setelan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk.

------
#### [ API ]

**Untuk memperbarui kebijakan konfigurasi**

1. Untuk memperbarui setelan dalam kebijakan konfigurasi, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui. 

1. Berikan nilai yang diperbarui untuk bidang di bawah`ConfigurationPolicy`. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

1. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1. Untuk `ConfigurationPolicyIdentifier` bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

1. Untuk `Target` bidang, berikan akun OUs, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk yang ditentukan OUs atau akun.

**catatan**  
Saat Anda menjalankan `UpdateConfigurationPolicy` API, Security Hub CSPM melakukan penggantian daftar lengkap untuk`EnabledStandardIdentifiers`,, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, dan bidang. `SecurityControlCustomParameters` Setiap kali Anda menjalankan API ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

**Contoh permintaan API untuk memperbarui kebijakan konfigurasi:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Untuk memperbarui kebijakan konfigurasi**

1. Untuk memperbarui pengaturan dalam kebijakan konfigurasi, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda.

1.  Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.

1. Berikan nilai yang diperbarui untuk bidang di bawah`configuration-policy`. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

1. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah rumah.

1. Untuk `configuration-policy-identifier` bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

1. Untuk `target` bidang, berikan akun OUs, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk yang ditentukan OUs atau akun.

**catatan**  
Saat Anda menjalankan `update-configuration-policy` perintah, Security Hub CSPM melakukan penggantian daftar lengkap untuk`EnabledStandardIdentifiers`,, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, dan `SecurityControlCustomParameters` bidang. Setiap kali Anda menjalankan perintah ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

**Contoh perintah untuk memperbarui kebijakan konfigurasi:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

`StartConfigurationPolicyAssociation`API mengembalikan bidang yang disebut`AssociationStatus`. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILURE`. Untuk informasi selengkapnya tentang status asosiasi, lihat[Meninjau status asosiasi kebijakan konfigurasi](view-policy.md#configuration-association-status).

# Menghapus kebijakan konfigurasi
<a name="delete-policy"></a>

Setelah membuat kebijakan konfigurasi, administrator CSPM AWS Security Hub yang didelegasikan dapat menghapusnya. Atau, administrator yang didelegasikan dapat mempertahankan kebijakan, tetapi memisahkannya dari akun tertentu atau unit organisasi (OUs), atau dari root. Untuk petunjuk tentang pemutusan kebijakan, lihat. [Memutuskan konfigurasi dari targetnya](disassociate-policy.md)

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan cara menghapus kebijakan konfigurasi.

Saat Anda menghapus kebijakan konfigurasi, kebijakan tersebut tidak ada lagi untuk organisasi Anda. Akun target, OUs, dan root organisasi tidak dapat lagi menggunakan kebijakan konfigurasi. Target yang dikaitkan dengan kebijakan konfigurasi yang dihapus mewarisi kebijakan konfigurasi induk terdekat, atau dikelola sendiri jika induk terdekat dikelola sendiri. Jika Anda ingin target menggunakan konfigurasi yang berbeda, Anda dapat mengaitkan target dengan kebijakan konfigurasi baru. Untuk informasi selengkapnya, lihat [Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

Sebaiknya buat dan kaitkan setidaknya satu kebijakan konfigurasi dengan organisasi Anda untuk memberikan cakupan keamanan yang memadai.

Sebelum Anda dapat menghapus kebijakan konfigurasi, Anda harus memisahkan kebijakan dari akun apa pun OUs, atau root yang berlaku saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus kebijakan konfigurasi.

------
#### [ Console ]

**Untuk menghapus kebijakan konfigurasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**. Pilih kebijakan konfigurasi yang ingin Anda hapus, lalu pilih **Hapus**. Jika kebijakan konfigurasi masih terkait dengan akun apa pun atau OUs, Anda diminta untuk terlebih dahulu memisahkan kebijakan dari target tersebut sebelum dapat menghapusnya.

1. Tinjau pesan konfirmasi. Masukkan**confirm**, dan pilih **Hapus**.

------
#### [ API ]

**Untuk menghapus kebijakan konfigurasi**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda hapus. Jika Anda menerima `ConflictException` kesalahan, kebijakan konfigurasi masih berlaku untuk akun atau OUs di organisasi Anda. Untuk mengatasi kesalahan, putuskan kebijakan konfigurasi dari akun ini atau OUs sebelum mencoba menghapusnya.

**Contoh permintaan API untuk menghapus kebijakan konfigurasi:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Untuk menghapus kebijakan konfigurasi**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

 Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda hapus. Jika Anda menerima `ConflictException` kesalahan, kebijakan konfigurasi masih berlaku untuk akun atau OUs di organisasi Anda. Untuk mengatasi kesalahan, putuskan kebijakan konfigurasi dari akun ini atau OUs sebelum mencoba menghapusnya.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Memutuskan konfigurasi dari targetnya
<a name="disassociate-policy"></a>

Dari akun administrator CSPM AWS Security Hub yang didelegasikan, Anda dapat memisahkan kebijakan konfigurasi atau konfigurasi yang dikelola sendiri dari akun, OU, atau root. Disassociation mempertahankan kebijakan untuk penggunaan di masa mendatang, tetapi menghapus asosiasi yang ada dari akun tertentu OUs, atau root.Anda hanya dapat memisahkan konfigurasi yang diterapkan secara langsung, bukan konfigurasi yang diwariskan. Untuk mengubah konfigurasi yang diwariskan, Anda dapat menerapkan kebijakan konfigurasi atau perilaku yang dikelola sendiri ke akun atau OU yang terpengaruh. Anda juga dapat menerapkan kebijakan konfigurasi baru, yang mencakup modifikasi yang Anda inginkan, ke induk terdekat.

Disassociation *tidak* menghapus kebijakan konfigurasi. Kebijakan ini disimpan di akun Anda, sehingga Anda dapat mengaitkannya dengan target lain di organisasi Anda. Untuk petunjuk tentang menghapus kebijakan konfigurasi, lihat[Menghapus kebijakan konfigurasi](delete-policy.md). Ketika disasosiasi selesai, target yang terpengaruh mewarisi kebijakan konfigurasi atau perilaku yang dikelola sendiri dari induk terdekat. Jika tidak ada konfigurasi yang dapat diwariskan, target mempertahankan pengaturan yang dimilikinya sebelum disasosiasi tetapi menjadi dikelola sendiri.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memisahkan akun, OU, atau root dari konfigurasi saat ini.

------
#### [ Console ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pada tab **Organizations**, pilih akun, OU, atau root yang ingin Anda lepaskan dari konfigurasi saat ini. Pilih **Edit**.

1. Pada halaman **Tentukan konfigurasi**, untuk **Manajemen**, pilih **Kebijakan diterapkan** jika Anda ingin administrator yang didelegasikan dapat menerapkan kebijakan secara langsung ke target. Pilih **Inherited** jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Dalam salah satu kasus ini, administrator yang didelegasikan mengontrol pengaturan untuk target. Pilih **Self-managed** jika Anda ingin akun atau OU mengontrol pengaturannya sendiri.

1. Setelah meninjau perubahan Anda, pilih **Berikutnya** dan **Terapkan**. Tindakan ini mengesampingkan konfigurasi akun yang ada atau OUs yang berada dalam cakupan, jika konfigurasi tersebut bertentangan dengan pilihan Anda saat ini.

------
#### [ API ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1.  Untuk`ConfigurationPolicyIdentifier`, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda putuskan. Sediakan bidang ini `SELF_MANAGED_SECURITY_HUB` untuk memisahkan perilaku yang dikelola sendiri.

1.  Untuk`Target`, berikan akun, OUs, atau root yang ingin Anda memisahkan dari kebijakan konfigurasi ini.

**Contoh permintaan API untuk memisahkan kebijakan konfigurasi:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Untuk memisahkan akun atau OU dari konfigurasi saat ini**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1.  Untuk`configuration-policy-identifier`, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda putuskan. Sediakan bidang ini `SELF_MANAGED_SECURITY_HUB` untuk memisahkan perilaku yang dikelola sendiri.

1.  Untuk`target`, berikan akun, OUs, atau root yang ingin Anda memisahkan dari kebijakan konfigurasi ini.

**Contoh perintah untuk memisahkan kebijakan konfigurasi:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Mengkonfigurasi standar atau kontrol dalam konteks
<a name="central-configuration-in-context"></a>

Bila Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di AWS Security Hub CSPM, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi yang menentukan cara CSPM Security Hub, standar keamanan, dan kontrol keamanan dikonfigurasi untuk organisasi. Administrator yang didelegasikan dapat mengaitkan kebijakan dengan akun tertentu dan unit organisasi (OU). Kebijakan berlaku di Wilayah asal Anda dan semua Wilayah terkait. Administrator yang didelegasikan dapat memperbarui kebijakan konfigurasi seperlunya.

Di konsol CSPM Security Hub, administrator yang didelegasikan dapat memperbarui kebijakan konfigurasi dengan dua cara—dari halaman **Konfigurasi**, atau dalam konteks alur kerja yang ada. Yang terakhir ini dapat bermanfaat karena, saat Anda melihat temuan keamanan, Anda dapat menemukan standar dan kontrol mana yang paling relevan dengan lingkungan Anda dan mengonfigurasinya pada saat yang bersamaan.

Konfigurasi dalam konteks hanya tersedia di konsol CSPM Security Hub. Secara terprogram, administrator yang didelegasikan harus memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)pengoperasian Security Hub CSPM API untuk mengubah cara standar atau kontrol tertentu dikonfigurasi dalam organisasi.

Ikuti langkah-langkah ini untuk mengonfigurasi standar atau kontrol CSPM Security Hub dalam konteks.

**Untuk mengkonfigurasi standar atau kontrol dalam konteks (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih salah satu opsi berikut:
   + Untuk mengkonfigurasi standar, pilih **Standar keamanan**, dan pilih standar tertentu.
   + Untuk mengonfigurasi kontrol, pilih **Kontrol**, dan pilih kontrol tertentu.

1. Konsol mencantumkan kebijakan konfigurasi CSPM Security Hub yang ada dan status standar atau kontrol yang dipilih di masing-masing. Pilih opsi untuk mengaktifkan atau menonaktifkan standar atau kontrol di setiap kebijakan konfigurasi yang ada. Untuk kontrol, Anda juga dapat memilih untuk menyesuaikan [parameter kontrol](custom-control-parameters.md). Anda tidak dapat membuat kebijakan baru selama konfigurasi dalam konteks. Untuk membuat kebijakan baru, Anda harus pergi ke halaman **Konfigurasi**, pilih tab **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Setelah melakukan perubahan, pilih **Berikutnya**.

1. Tinjau perubahan Anda, dan pilih **Terapkan**. Pembaruan memengaruhi semua akun dan OUs yang terkait dengan kebijakan konfigurasi yang diubah. Pembaruan juga berlaku di Wilayah asal dan semua Wilayah yang ditautkan.

# Menonaktifkan konfigurasi pusat di Security Hub CSPM
<a name="stop-central-configuration"></a>

Saat Anda menonaktifkan konfigurasi pusat di AWS Security Hub CSPM, administrator yang didelegasikan kehilangan kemampuan untuk mengonfigurasi CSPM Security Hub, standar keamanan, dan kontrol keamanan di beberapa unit organisasi () Akun AWS, dan. OUs Wilayah AWS Sebagai gantinya, Anda harus mengonfigurasi sebagian besar pengaturan secara terpisah untuk setiap akun di setiap Wilayah.

**penting**  
Sebelum Anda dapat menonaktifkan konfigurasi pusat, Anda harus terlebih dahulu [memisahkan akun Anda dan OUs](disassociate-policy.md) dari konfigurasi mereka saat ini, apakah itu kebijakan konfigurasi atau perilaku yang dikelola sendiri.  
Sebelum Anda dapat menonaktifkan konfigurasi pusat, Anda juga harus [menghapus kebijakan konfigurasi yang ada](delete-policy.md).

Ketika Anda menonaktifkan konfigurasi pusat, perubahan berikut terjadi:
+ Administrator yang didelegasikan tidak dapat lagi membuat kebijakan konfigurasi untuk organisasi.
+ Akun yang memiliki kebijakan konfigurasi yang diterapkan atau diwariskan mempertahankan pengaturan mereka saat ini, tetapi menjadi dikelola sendiri.
+ Organisasi Anda beralih ke *konfigurasi lokal*. Di bawah konfigurasi lokal, sebagian besar pengaturan CSPM Security Hub harus dikonfigurasi secara terpisah di setiap akun organisasi dan Wilayah. Administrator yang didelegasikan dapat memilih untuk mengaktifkan CSPM Security Hub secara otomatis, [standar keamanan default](securityhub-auto-enabled-standards.md), dan semua kontrol yang merupakan bagian dari standar default di akun organisasi baru. Standar default adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Pengaturan ini hanya berlaku di Wilayah saat ini dan hanya memengaruhi akun organisasi baru. Administrator yang didelegasikan tidak dapat mengubah standar mana yang default. Konfigurasi lokal tidak mendukung penggunaan kebijakan konfigurasi atau konfigurasi di tingkat OU.

Identitas akun administrator yang didelegasikan tetap sama ketika Anda berhenti menggunakan konfigurasi pusat. Wilayah asal Anda dan Wilayah terkait juga tetap sama (Wilayah asal Anda sekarang disebut Wilayah agregasi, dan dapat digunakan untuk menemukan agregasi).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk berhenti menggunakan konfigurasi pusat dan beralih ke konfigurasi lokal.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan konfigurasi pusat (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensil akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Pada panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Di bagian **Ikhtisar**, pilih **Edit**.

1. Di kotak **Edit konfigurasi organisasi**, pilih **Konfigurasi lokal**. Jika belum melakukannya, Anda diminta untuk memisahkan dan menghapus kebijakan konfigurasi Anda saat ini sebelum Anda dapat menghentikan konfigurasi pusat. Akun atau OUs yang ditetapkan sebagai dikelola sendiri harus dipisahkan dari konfigurasi yang dikelola sendiri. Anda dapat melakukan ini di konsol dengan [mengubah jenis manajemen setiap akun yang](central-configuration-management-type.md#choose-management-type) dikelola sendiri atau OU menjadi **dikelola secara terpusat** dan **Mewarisi dari** organisasi saya.

1. Secara opsional, pilih pengaturan default konfigurasi lokal untuk akun organisasi baru.

1. Pilih **Konfirmasi**.

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan konfigurasi pusat (API)**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.

1. Atur `ConfigurationType` bidang di `OrganizationConfiguration` objek ke`LOCAL`. API menampilkan kesalahan jika Anda memiliki kebijakan konfigurasi atau asosiasi kebijakan yang ada. Untuk memisahkan kebijakan konfigurasi, panggil API. `StartConfigurationPolicyDisassociation` Untuk menghapus kebijakan konfigurasi, panggil `DeleteConfigurationPolicy` API.

1. Jika Anda ingin mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru, setel `AutoEnable` kolom ke. `true` Secara default, nilai bidang ini adalah`false`, dan CSPM Security Hub tidak diaktifkan secara otomatis di akun organisasi baru. Secara opsional, jika Anda ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `AutoEnableStandards` bidang ke`DEFAULT`. Ini nilai default. Jika Anda tidak ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `AutoEnableStandards` bidang tersebut`NONE`.

**Contoh permintaan API:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Untuk menonaktifkan konfigurasi pusat (AWS CLI)**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Atur `ConfigurationType` bidang di `organization-configuration` objek ke`LOCAL`. Perintah mengembalikan kesalahan jika Anda memiliki kebijakan konfigurasi atau asosiasi kebijakan yang ada. Untuk memisahkan kebijakan konfigurasi, jalankan `start-configuration-policy-disassociation` perintah. Untuk menghapus kebijakan konfigurasi, jalankan `delete-configuration-policy` perintah.

1. Jika Anda ingin mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru, sertakan parameternya`auto-enable`. Secara default, nilai parameter ini adalah`no-auto-enable`, dan CSPM Security Hub tidak diaktifkan secara otomatis di akun organisasi baru. Secara opsional, jika Anda ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `auto-enable-standards` bidang ke`DEFAULT`. Ini nilai default. Jika Anda tidak ingin mengaktifkan standar keamanan default secara otomatis di akun organisasi baru, setel `auto-enable-standards` bidang tersebut`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------

# Mengelola akun administrator dan anggota di Security Hub CSPM
<a name="securityhub-accounts"></a>

Jika AWS lingkungan Anda memiliki beberapa akun, Anda dapat memperlakukan akun yang menggunakan AWS Security Hub CSPM sebagai akun anggota dan mengaitkannya dengan satu akun administrator. Administrator dapat memantau postur keamanan Anda secara keseluruhan dan mengambil [tindakan yang diizinkan](securityhub-accounts-allowed-actions.md) pada akun anggota. Administrator juga dapat melakukan berbagai tugas manajemen akun dan administrasi dalam skala besar, seperti memantau perkiraan biaya penggunaan dan menilai kuota akun.

Anda dapat mengaitkan akun anggota dengan administrator dalam dua cara, dengan mengintegrasikan Security Hub CSPM dengan AWS Organizations atau dengan mengirim dan menerima undangan keanggotaan secara manual di Security Hub CSPM.

## Mengelola akun dengan AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations adalah layanan manajemen akun global yang memungkinkan AWS administrator untuk mengkonsolidasikan dan mengelola beberapa. Akun AWS Ini menyediakan manajemen akun dan fitur penagihan terkonsolidasi yang dirancang untuk mendukung kebutuhan anggaran, keamanan, dan kepatuhan. Ini ditawarkan tanpa biaya tambahan, dan terintegrasi dengan beberapa, termasuk AWS Security Hub CSPM Layanan AWS, Amazon Macie, dan Amazon. GuardDuty Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Saat Anda mengintegrasikan CSPM Security Hub dan AWS Organizations, akun manajemen Organizations menunjuk administrator yang didelegasikan CSPM Security Hub. Security Hub CSPM secara otomatis diaktifkan di akun administrator yang didelegasikan Wilayah AWS di mana ia ditunjuk.

[Setelah menunjuk administrator yang didelegasikan, kami sarankan mengelola akun di Security Hub CSPM dengan konfigurasi pusat.](central-configuration-intro.md) Ini adalah cara paling efisien untuk menyesuaikan Security Hub CSPM dan memastikan cakupan keamanan yang memadai untuk organisasi Anda.

Konfigurasi pusat memungkinkan administrator yang didelegasikan menyesuaikan CSPM Security Hub di beberapa akun organisasi dan Wilayah daripada mengonfigurasi. Region-by-Region Anda dapat membuat kebijakan konfigurasi untuk seluruh organisasi, atau membuat kebijakan konfigurasi yang berbeda untuk akun yang berbeda dan OUs. Kebijakan menentukan apakah CSPM Security Hub diaktifkan atau dinonaktifkan di akun terkait dan standar dan kontrol keamanan mana yang diaktifkan.

Administrator yang didelegasikan dapat menetapkan akun sebagai dikelola secara terpusat atau dikelola sendiri. Akun yang dikelola secara terpusat hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Akun yang dikelola sendiri dapat menentukan pengaturan mereka sendiri.

*Jika Anda tidak ikut serta dalam konfigurasi pusat, administrator yang didelegasikan memiliki kemampuan yang lebih terbatas untuk mengonfigurasi CSPM Security Hub, yang disebut konfigurasi lokal.* Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan [standar keamanan default](securityhub-auto-enabled-standards.md) di akun organisasi baru di Wilayah saat ini. Namun, akun yang ada tidak menggunakan pengaturan ini, sehingga penyimpangan konfigurasi dapat terjadi setelah akun bergabung dengan organisasi.

Selain pengaturan akun baru ini, konfigurasi lokal bersifat spesifik akun dan spesifik Wilayah. Setiap akun organisasi harus mengonfigurasi layanan, standar, dan kontrol CSPM Security Hub secara terpisah di setiap Wilayah. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

## Mengelola akun secara manual dengan undangan
<a name="securityhub-manual-account-management-overview"></a>

Anda harus mengelola akun anggota secara manual berdasarkan undangan di Security Hub CSPM jika Anda memiliki akun mandiri atau jika Anda tidak berintegrasi dengan Organizations. Akun mandiri tidak dapat diintegrasikan dengan Organizations, jadi Anda perlu mengelolanya secara manual. Kami merekomendasikan untuk mengintegrasikan dengan AWS Organizations dan menggunakan konfigurasi pusat jika Anda menambahkan akun tambahan di masa mendatang.

Saat Anda menggunakan manajemen akun manual, Anda menetapkan akun untuk menjadi administrator CSPM Security Hub. Akun administrator dapat melihat data di akun anggota dan mengambil tindakan tertentu pada temuan akun anggota. Administrator CSPM Security Hub mengundang akun lain untuk menjadi akun anggota, dan hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Manajemen akun manual tidak mendukung penggunaan kebijakan konfigurasi. Tanpa kebijakan konfigurasi, administrator tidak dapat menyesuaikan CSPM Security Hub secara terpusat dengan mengonfigurasi pengaturan variabel untuk akun yang berbeda. Sebagai gantinya, setiap akun organisasi harus mengaktifkan dan mengkonfigurasi CSPM Security Hub untuk dirinya sendiri secara terpisah di setiap Wilayah. Ini dapat membuatnya lebih sulit dan memakan waktu untuk memastikan cakupan keamanan yang memadai di semua akun dan Wilayah tempat Anda menggunakan Security Hub CSPM. Ini juga dapat menyebabkan penyimpangan konfigurasi karena akun anggota dapat menentukan pengaturan mereka sendiri tanpa masukan dari administrator.

Untuk mengelola akun berdasarkan undangan, lihat[Mengelola akun dengan undangan di Security Hub CSPM](account-management-manual.md).

# Rekomendasi untuk mengelola beberapa akun di Security Hub CSPM
<a name="securityhub-account-restrictions-recommendations"></a>

Bagian berikut merangkum beberapa batasan dan rekomendasi yang perlu diingat saat mengelola akun anggota di AWS Security Hub CSPM.

## Jumlah maksimum akun anggota
<a name="admin-maximum-member-accounts"></a>

Jika Anda menggunakan integrasi dengan AWS Organizations, Security Hub CSPM mendukung hingga 10.000 akun anggota per akun administrator yang didelegasikan di masing-masing akun. Wilayah AWS Jika Anda mengaktifkan dan mengelola Security Hub CSPM secara manual, Security Hub CSPM mendukung hingga 1.000 undangan akun anggota per akun administrator di setiap Wilayah.

## Membuat hubungan administrator-anggota
<a name="securityhub-accounts-regions"></a>

**catatan**  
Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations, dan belum mengundang akun anggota secara manual, bagian ini tidak berlaku untuk Anda.

Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

Akun anggota hanya dapat dikaitkan dengan satu akun administrator. Jika akun organisasi diaktifkan oleh akun administrator CSPM Security Hub, akun tidak dapat menerima undangan dari akun lain. Jika akun telah menerima undangan, akun tidak dapat diaktifkan oleh akun administrator CSPM Security Hub untuk organisasi. Itu juga tidak dapat menerima undangan dari akun lain.

Untuk proses undangan manual, menerima undangan keanggotaan adalah opsional.

### Keanggotaan melalui AWS Organizations
<a name="accounts-regions-orgs"></a>

Jika Anda mengintegrasikan CSPM Security Hub AWS Organizations, akun manajemen Organizations dapat menunjuk akun administrator yang didelegasikan (DA) untuk Security Hub CSPM. Akun manajemen organisasi tidak dapat ditetapkan sebagai DA di Organizations. Meskipun ini diizinkan di Security Hub CSPM, kami menyarankan agar akun manajemen Organizations *tidak* boleh menjadi DA.

Kami menyarankan Anda memilih akun DA yang sama di semua Wilayah. Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), maka Security Hub CSPM menetapkan akun DA yang sama di semua Wilayah tempat Anda mengonfigurasi CSPM Security Hub untuk organisasi Anda.

Kami juga menyarankan Anda memilih akun DA yang sama di seluruh layanan AWS keamanan dan kepatuhan untuk membantu Anda mengelola masalah terkait keamanan dalam satu panel kaca.

### Keanggotaan berdasarkan undangan
<a name="accounts-regions-invitation"></a>

Untuk akun anggota yang dibuat berdasarkan undangan, asosiasi akun administrator-anggota dibuat hanya di Wilayah tempat undangan dikirim. Akun administrator harus mengaktifkan CSPM Security Hub di setiap Wilayah tempat Anda ingin menggunakannya. Akun administrator kemudian mengundang setiap akun untuk menjadi akun anggota di Wilayah tersebut.

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda.

## Mengkoordinasikan akun administrator di seluruh layanan
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM mengumpulkan temuan dari berbagai AWS layanan, seperti Amazon, Amazon GuardDuty Inspector, dan Amazon Macie. Security Hub CSPM juga memungkinkan pengguna untuk beralih dari GuardDuty temuan untuk memulai penyelidikan di Amazon Detective.

Namun, hubungan administrator-anggota yang Anda atur di layanan lain ini tidak secara otomatis berlaku untuk CSPM Security Hub. Security Hub CSPM merekomendasikan agar Anda menggunakan akun yang sama dengan akun administrator untuk semua layanan ini. Akun administrator ini harus menjadi akun yang bertanggung jawab atas alat keamanan. Akun yang sama juga harus menjadi akun agregator untuk AWS Config.

Misalnya, pengguna dari akun GuardDuty administrator A dapat melihat temuan untuk akun GuardDuty anggota B dan C di GuardDuty konsol. Jika akun A kemudian mengaktifkan Security Hub CSPM, pengguna dari akun A *tidak* secara otomatis melihat GuardDuty temuan untuk akun B dan C di Security Hub CSPM. Hubungan administrator-anggota CSPM Security Hub juga diperlukan untuk akun ini.

Untuk melakukan ini, buat akun A sebagai akun administrator CSPM Security Hub dan aktifkan akun B dan C untuk menjadi akun anggota CSPM Security Hub.

# Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Anda dapat mengintegrasikan AWS Security Hub CSPM dengan AWS Organizations, dan kemudian mengelola Security Hub CSPM untuk akun di organisasi Anda.

Untuk mengintegrasikan CSPM Security Hub dengan AWS Organizations, Anda membuat organisasi di. AWS Organizations Akun manajemen Organizations menetapkan satu akun sebagai administrator yang didelegasikan CSPM Security Hub untuk organisasi. Administrator yang didelegasikan kemudian dapat mengaktifkan CSPM Security Hub untuk akun lain di organisasi, menambahkan akun tersebut sebagai akun anggota CSPM Security Hub, dan mengambil tindakan yang diizinkan pada akun anggota. Administrator yang didelegasikan CSPM Security Hub dapat mengaktifkan dan mengelola Security Hub CSPM hingga 10.000 akun anggota.

Tingkat kemampuan konfigurasi administrator yang didelegasikan bergantung pada apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md). Dengan konfigurasi pusat diaktifkan, Anda tidak perlu mengonfigurasi CSPM Security Hub secara terpisah di setiap akun anggota dan. Wilayah AWS Administrator yang didelegasikan dapat menerapkan pengaturan CSPM Security Hub tertentu di akun anggota tertentu dan unit organisasi () OUs di seluruh Wilayah.

Akun administrator yang didelegasikan CSPM Security Hub dapat melakukan tindakan berikut pada akun anggota:
+ Jika menggunakan konfigurasi pusat, konfigurasikan CSPM Security Hub secara terpusat untuk akun anggota dan OUs dengan membuat kebijakan konfigurasi CSPM Security Hub. Kebijakan konfigurasi dapat digunakan untuk mengaktifkan dan menonaktifkan Security Hub CSPM, mengaktifkan dan menonaktifkan standar, serta mengaktifkan dan menonaktifkan kontrol.
+ Secara otomatis memperlakukan akun *baru* sebagai akun anggota CSPM Security Hub ketika mereka bergabung dengan organisasi. Jika Anda menggunakan konfigurasi pusat, kebijakan konfigurasi yang terkait dengan OU mencakup akun yang ada dan baru yang merupakan bagian dari OU.
+ Perlakukan akun organisasi *yang ada* sebagai akun anggota CSPM Security Hub. Ini terjadi secara otomatis jika Anda menggunakan konfigurasi pusat.
+ Putuskan akun anggota yang termasuk dalam organisasi. Jika Anda menggunakan konfigurasi pusat, Anda dapat memisahkan akun anggota hanya setelah menetapkannya sebagai dikelola sendiri. Atau, Anda dapat mengaitkan kebijakan konfigurasi yang menonaktifkan CSPM Security Hub dengan akun anggota tertentu yang dikelola secara terpusat.

Jika Anda tidak ikut serta dalam konfigurasi pusat, organisasi Anda menggunakan jenis konfigurasi default yang disebut konfigurasi lokal. Di bawah konfigurasi lokal, administrator yang didelegasikan memiliki kemampuan yang lebih terbatas untuk menerapkan pengaturan di akun anggota. Untuk informasi selengkapnya, lihat [Memahami konfigurasi lokal di Security Hub CSPM](local-configuration.md).

Untuk daftar lengkap tindakan yang dapat dilakukan administrator yang didelegasikan pada akun anggota, lihat[Tindakan yang diizinkan oleh administrator dan akun anggota di Security Hub CSPM](securityhub-accounts-allowed-actions.md).

Topik di bagian ini menjelaskan cara mengintegrasikan CSPM Security Hub dengan AWS Organizations dan cara mengelola CSPM Security Hub untuk akun dalam suatu organisasi. Jika relevan, setiap bagian mengidentifikasi manfaat dan perbedaan manajemen untuk pengguna konfigurasi pusat.

**Topics**
+ [Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md)
+ [Mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru](accounts-orgs-auto-enable.md)
+ [Mengaktifkan CSPM Security Hub secara manual di akun organisasi baru](orgs-accounts-enable.md)
+ [Memutuskan akun anggota CSPM Security Hub dari organisasi Anda](accounts-orgs-disassociate.md)

# Mengintegrasikan CSPM Security Hub dengan AWS Organizations
<a name="designate-orgs-admin-account"></a>

Untuk mengintegrasikan CSPM AWS Security Hub dan AWS Organizations, Anda membuat organisasi di Organizations dan menggunakan akun manajemen organisasi untuk menunjuk akun administrator CSPM Security Hub yang didelegasikan. Hal ini memungkinkan Security Hub CSPM sebagai layanan terpercaya di Organizations. [Ini juga memungkinkan Security Hub CSPM saat ini Wilayah AWS untuk akun administrator yang didelegasikan, dan memungkinkan administrator yang didelegasikan untuk mengaktifkan CSPM Security Hub untuk akun anggota, melihat data di akun anggota, dan melakukan tindakan lain yang diizinkan pada akun anggota.](securityhub-accounts-allowed-actions.md)

Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), administrator yang didelegasikan juga dapat membuat kebijakan konfigurasi CSPM Security Hub yang menentukan bagaimana layanan, standar, dan kontrol CSPM Security Hub harus dikonfigurasi di akun organisasi.

## Membuat organisasi
<a name="create-organization"></a>

Organisasi adalah entitas yang Anda buat untuk mengkonsolidasikan Anda Akun AWS sehingga Anda dapat mengelolanya sebagai satu kesatuan.

Anda dapat membuat organisasi dengan menggunakan AWS Organizations konsol atau dengan menggunakan perintah dari AWS CLI atau salah satu SDK APIs. Untuk petunjuk mendetail, lihat [Membuat organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) di *Panduan AWS Organizations Pengguna*.

Anda dapat menggunakan AWS Organizations untuk melihat dan mengelola semua akun dalam organisasi secara terpusat. Sebuah organisasi memiliki satu akun manajemen bersama dengan nol atau lebih akun anggota. Anda dapat mengatur akun dalam struktur hierarkis seperti pohon dengan root di bagian atas dan unit organisasi (OUs) bersarang di bawah root. Setiap akun dapat langsung di bawah root, atau ditempatkan di salah satu OUs dalam hierarki. OU adalah wadah untuk akun tertentu. Misalnya, Anda dapat membuat OU keuangan yang mencakup semua akun yang terkait dengan operasi keuangan. 

## Rekomendasi untuk memilih administrator CSPM Security Hub yang didelegasikan
<a name="designate-admin-recommendations"></a>

Jika Anda memiliki akun administrator dari proses undangan manual dan sedang beralih ke manajemen akun AWS Organizations, sebaiknya tentukan akun tersebut sebagai administrator CSPM Security Hub yang didelegasikan.

Meskipun CSPM APIs dan konsol Security Hub memungkinkan akun manajemen organisasi menjadi administrator CSPM Security Hub yang didelegasikan, sebaiknya pilih dua akun yang berbeda. Ini karena pengguna yang memiliki akses ke akun manajemen organisasi untuk mengelola penagihan cenderung berbeda dari pengguna yang membutuhkan akses ke Security Hub CSPM untuk manajemen keamanan.

Sebaiknya gunakan administrator yang didelegasikan sama di seluruh Wilayah. Jika Anda ikut serta dalam konfigurasi pusat, Security Hub CSPM secara otomatis menunjuk administrator yang didelegasikan yang sama di Wilayah asal Anda dan Wilayah yang ditautkan.

## Verifikasi izin untuk mengonfigurasi administrator yang didelegasikan
<a name="designate-admin-permissions"></a>

Untuk menetapkan dan menghapus akun administrator CSPM Security Hub yang didelegasikan, akun manajemen organisasi harus memiliki izin dan tindakan `EnableOrganizationAdminAccount` di CSPM `DisableOrganizationAdminAccount` Security Hub. Akun manajemen Organizations juga harus memiliki izin administratif untuk Organizations.

Untuk memberikan semua izin yang diperlukan, lampirkan kebijakan terkelola CSPM Security Hub berikut ke kepala IAM untuk akun manajemen organisasi:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Menunjuk administrator yang didelegasikan
<a name="designate-admin-instructions"></a>

Untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan, Anda dapat menggunakan konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI Security Hub CSPM menetapkan administrator yang didelegasikan Wilayah AWS hanya di saat ini, dan Anda harus mengulangi tindakan di Wilayah lain. Jika Anda mulai menggunakan konfigurasi pusat, maka Security Hub CSPM secara otomatis menetapkan administrator yang didelegasikan yang sama di Wilayah beranda dan Wilayah yang ditautkan.

Akun manajemen organisasi tidak harus mengaktifkan CSPM Security Hub untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan.

Kami menyarankan agar akun manajemen organisasi bukan akun administrator CSPM Security Hub yang didelegasikan. Namun, jika Anda memilih akun manajemen organisasi sebagai administrator yang didelegasikan CSPM Security Hub, akun manajemen harus mengaktifkan CSPM Security Hub. Jika akun manajemen tidak mengaktifkan Security Hub CSPM, Anda harus mengaktifkan Security Hub CSPM untuk itu secara manual. CSPM Security Hub tidak dapat diaktifkan secara otomatis untuk akun manajemen organisasi.

Anda harus menunjuk administrator CSPM Security Hub yang didelegasikan menggunakan salah satu metode berikut. Menunjuk administrator CSPM Security Hub yang didelegasikan dengan Organizations APIs tidak tercermin dalam Security Hub CSPM.

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan.

------
#### [ Security Hub CSPM console ]

**Untuk menunjuk administrator yang didelegasikan saat melakukan orientasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Buka Security Hub CSPM**. Anda diminta untuk masuk ke akun manajemen organisasi.

1. Pada halaman **Tentukan administrator yang didelegasikan**, di bagian **Akun administrator yang didelegasikan, tentukan akun administrator** yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

1. Pilih **Setel administrator yang didelegasikan**. Anda diminta untuk masuk ke akun administrator yang didelegasikan (jika belum) untuk melanjutkan orientasi dengan konfigurasi pusat. Jika Anda tidak ingin memulai konfigurasi pusat, pilih **Batal**. Administrator yang didelegasikan Anda disetel, tetapi Anda belum menggunakan konfigurasi pusat.

****Untuk menunjuk administrator yang didelegasikan dari halaman Pengaturan****

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Di panel navigasi CSPM Security Hub, pilih Pengaturan.** Kemudian pilih **General**.

1. Jika akun administrator CSPM Security Hub saat ini ditetapkan, maka sebelum Anda dapat menunjuk akun baru, Anda harus menghapus akun saat ini.

   Di bawah **Administrator Delegasi**, untuk menghapus akun saat ini, pilih **Hapus**.

1. Masukkan ID akun akun yang ingin Anda tetapkan sebagai akun administrator **CSPM Security Hub**.

   Anda harus menetapkan akun administrator CSPM Security Hub yang sama di semua Wilayah. Jika Anda menetapkan akun yang berbeda dari akun yang ditunjuk di Wilayah lain, konsol mengembalikan kesalahan.

1. Pilih **Delegasikan**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Dari akun manajemen organisasi, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)perintah. Berikan Akun AWS ID administrator CSPM Security Hub yang didelegasikan.

Contoh berikut menunjuk administrator CSPM Security Hub yang didelegasikan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Menghapus atau mengubah administrator yang didelegasikan
<a name="remove-admin-overview"></a>

Hanya akun manajemen organisasi yang dapat menghapus akun administrator CSPM Security Hub yang didelegasikan.

Untuk mengubah administrator CSPM Security Hub yang didelegasikan, Anda harus terlebih dahulu menghapus akun administrator yang didelegasikan saat ini dan kemudian menunjuk yang baru.

**Awas**  
Bila Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), Anda tidak dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM APIs untuk mengubah atau menghapus akun administrator yang didelegasikan. Jika akun manajemen organisasi menggunakan AWS Organizations konsol atau mengubah atau AWS Organizations APIs menghapus administrator CSPM Security Hub yang didelegasikan, CSPM Security Hub secara otomatis menghentikan konfigurasi pusat, dan menghapus kebijakan konfigurasi dan asosiasi kebijakan Anda. Akun anggota mempertahankan konfigurasi yang mereka miliki sebelum administrator yang didelegasikan diubah atau dihapus.

Jika Anda menggunakan konsol CSPM Security Hub untuk menghapus administrator yang didelegasikan di satu Wilayah, maka secara otomatis dihapus di semua Wilayah.

Security Hub CSPM API hanya menghapus akun administrator CSPM Security Hub yang didelegasikan dari Wilayah tempat panggilan API atau perintah dikeluarkan. Anda harus mengulangi tindakan di Wilayah lain.

Jika Anda menggunakan Organizations API untuk menghapus akun administrator CSPM Security Hub yang didelegasikan, akun tersebut akan dihapus secara otomatis di semua Wilayah.

## Menghapus administrator yang didelegasikan (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

Anda dapat menggunakan Organizations untuk menghapus administrator CSPM Security Hub yang didelegasikan di semua Wilayah.

Jika Anda menggunakan konfigurasi pusat untuk mengelola akun, menghapus akun administrator yang didelegasikan akan mengakibatkan penghapusan kebijakan konfigurasi dan asosiasi kebijakan Anda. Akun anggota mempertahankan konfigurasi yang mereka miliki sebelum administrator yang didelegasikan diubah atau dihapus. Namun, akun ini tidak dapat dikelola lagi oleh akun administrator yang didelegasikan yang dihapus. Mereka menjadi akun yang dikelola sendiri yang harus dikonfigurasi secara terpisah di setiap Wilayah.

Pilih metode yang Anda inginkan, dan ikuti petunjuk untuk menghapus akun administrator CSPM Security Hub yang didelegasikan. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Untuk menghapus administrator CSPM Security Hub yang didelegasikan**

Dari akun manajemen organisasi, gunakan [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)pengoperasian API Organizations. Jika Anda menggunakan AWS CLI, jalankan [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)perintah. Berikan ID akun administrator yang didelegasikan, dan kepala layanan untuk Security Hub CSPM, yaitu. `securityhub.amazonaws.com`

Contoh berikut menghapus administrator CSPM Security Hub yang didelegasikan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Menghapus administrator yang didelegasikan (konsol CSPM Security Hub)
<a name="remove-admin-console"></a>

Anda dapat menggunakan konsol CSPM Security Hub untuk menghapus administrator CSPM Security Hub yang didelegasikan di semua Wilayah.

Ketika akun administrator CSPM Security Hub yang didelegasikan dihapus, akun anggota akan dipisahkan dari akun administrator CSPM Security Hub yang didelegasikan yang dihapus.

Security Hub CSPM masih diaktifkan di akun anggota. Mereka menjadi akun mandiri sampai administrator CSPM Security Hub baru memungkinkan mereka sebagai akun anggota.

Jika akun manajemen organisasi bukan akun yang diaktifkan di CSPM Security Hub, gunakan opsi di halaman CSPM **Selamat Datang di Security Hub**.

**Untuk menghapus akun administrator CSPM Security Hub yang didelegasikan dari halaman CSPM **Selamat Datang di Security Hub****

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Buka Security Hub**.

1. Di bawah **Administrator Delegasi**, pilih **Hapus**.

Jika akun manajemen organisasi adalah akun yang diaktifkan di **Security Hub**, maka gunakan opsi pada tab **Umum** pada halaman **Pengaturan**.

****Untuk menghapus akun administrator CSPM Security Hub yang didelegasikan dari halaman Pengaturan****

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Di panel navigasi CSPM Security Hub, pilih Pengaturan.** Kemudian pilih **General**.

1. Di bawah **Administrator Delegasi**, pilih **Hapus**.

## Menghapus administrator yang didelegasikan (Security Hub CSPM API,) AWS CLI
<a name="remove-admin-api"></a>

Anda dapat menggunakan Security Hub CSPM API atau operasi CSPM Security Hub AWS CLI untuk menghapus administrator CSPM Security Hub yang didelegasikan. Saat Anda menghapus administrator yang didelegasikan dengan salah satu metode ini, administrator hanya akan dihapus di Wilayah tempat panggilan atau perintah API dikeluarkan. Security Hub CSPM tidak memperbarui Wilayah lain, dan tidak menghapus akun administrator yang didelegasikan. AWS Organizations

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah berikut untuk menghapus akun administrator CSPM Security Hub yang didelegasikan dengan Security Hub CSPM.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Untuk menghapus administrator CSPM Security Hub yang didelegasikan**

Dari akun manajemen organisasi, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)perintah. Berikan ID akun administrator CSPM Security Hub yang didelegasikan.

Contoh berikut menghapus administrator CSPM Security Hub yang didelegasikan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Menonaktifkan integrasi CSPM Security Hub dengan AWS Organizations
<a name="disable-orgs-integration"></a>

Setelah AWS Organizations organisasi terintegrasi dengan AWS Security Hub CSPM, akun manajemen Organizations selanjutnya dapat menonaktifkan integrasi. Sebagai pengguna akun manajemen Organizations, Anda dapat melakukannya dengan menonaktifkan akses tepercaya untuk Security Hub CSPM di. AWS Organizations

Ketika Anda menonaktifkan akses tepercaya untuk Security Hub CSPM, hal berikut akan terjadi:
+ Security Hub CSPM kehilangan statusnya sebagai layanan tepercaya di. AWS Organizations
+ Akun administrator yang didelegasikan CSPM Security Hub kehilangan akses ke pengaturan, data, dan sumber daya CSPM Security Hub untuk semua akun anggota CSPM Security Hub secara keseluruhan. Wilayah AWS
+ Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), Security Hub CSPM secara otomatis berhenti menggunakannya untuk organisasi Anda. Kebijakan konfigurasi dan asosiasi kebijakan Anda akan dihapus. Akun mempertahankan konfigurasi yang mereka miliki sebelum Anda menonaktifkan akses tepercaya.
+ Semua akun anggota CSPM Security Hub menjadi akun mandiri dan mempertahankan pengaturan mereka saat ini. Jika Security Hub CSPM diaktifkan untuk akun anggota di satu atau beberapa Wilayah, CSPM Security Hub tetap diaktifkan untuk akun di Wilayah tersebut. Standar dan kontrol yang diaktifkan juga tidak berubah. Anda dapat mengubah pengaturan ini secara terpisah di setiap akun dan Wilayah. Namun, akun tidak lagi dikaitkan dengan administrator yang didelegasikan di Wilayah mana pun.

Untuk informasi tambahan tentang hasil menonaktifkan akses layanan tepercaya, lihat [Menggunakan AWS Organizations dengan yang lain Layanan AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) di *AWS Organizations Panduan Pengguna*. 

Untuk menonaktifkan akses tepercaya, Anda dapat menggunakan AWS Organizations konsol, Organizations API, atau file AWS CLI. Hanya pengguna akun manajemen Organizations yang dapat menonaktifkan akses layanan tepercaya untuk Security Hub CSPM. Untuk detail tentang izin yang Anda perlukan, lihat [Izin yang diperlukan untuk menonaktifkan akses tepercaya](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) di *AWS Organizations Panduan Pengguna*.

Sebelum Anda menonaktifkan akses tepercaya, kami sarankan bekerja sama dengan administrator yang didelegasikan untuk organisasi Anda untuk menonaktifkan CSPM Security Hub di akun anggota dan membersihkan sumber daya CSPM Security Hub di akun tersebut.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menonaktifkan akses tepercaya untuk Security Hub CSPM.

------
#### [ Organizations console ]

**Untuk menonaktifkan akses tepercaya untuk Security Hub CSPM**

1. Masuk ke Konsol Manajemen AWS menggunakan kredensi akun AWS Organizations manajemen.

1. Buka konsol Organizations di [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Pada panel navigasi, silakan pilih **Layanan**.

1. Di bawah **Layanan terintegrasi**, pilih **AWS Security Hub CSPM**.

1. Pilih **Menonaktifkan akses terpercaya**.

1. Konfirmasikan bahwa Anda ingin menonaktifkan akses tepercaya.

------
#### [ Organizations API ]

**Untuk menonaktifkan akses tepercaya untuk Security Hub CSPM**

Memanggil operasi [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) dari AWS Organizations API. Untuk `ServicePrincipal` parameternya, tentukan prinsip layanan CSPM Security Hub ()`securityhub.amazonaws.com`.

------
#### [ AWS CLI ]

**Untuk menonaktifkan akses tepercaya untuk Security Hub CSPM**

Jalankan [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)perintah AWS Organizations API. Untuk `service-principal` parameternya, tentukan prinsip layanan CSPM Security Hub ()`securityhub.amazonaws.com`.

**Contoh:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru
<a name="accounts-orgs-auto-enable"></a>

Saat akun baru bergabung dengan organisasi Anda, akun tersebut akan ditambahkan ke daftar di halaman **Akun** konsol CSPM AWS Security Hub. Untuk akun organisasi, **Type** is **By Organization**. Secara default, akun baru tidak menjadi anggota CSPM Security Hub saat mereka bergabung dengan organisasi. Status mereka **bukan anggota**. Akun administrator yang didelegasikan dapat secara otomatis menambahkan akun baru sebagai anggota dan mengaktifkan CSPM Security Hub di akun ini saat mereka bergabung dengan organisasi.

**catatan**  
Meskipun banyak Wilayah AWS yang aktif secara default untuk Anda Akun AWS, Anda harus mengaktifkan Wilayah tertentu secara manual. Wilayah ini disebut Wilayah keikutsertaan dalam dokumen ini. Untuk mengaktifkan CSPM Security Hub secara otomatis di akun baru di Region opt-in, akun tersebut harus mengaktifkan Region tersebut terlebih dahulu. Hanya pemilik akun yang dapat mengaktifkan Wilayah keikutsertaan. Untuk informasi selengkapnya tentang opt-in Regions, lihat [Menentukan yang dapat digunakan akun Wilayah AWS Anda](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Proses ini berbeda berdasarkan apakah Anda menggunakan konfigurasi pusat (disarankan) atau konfigurasi lokal.

## Mengaktifkan akun organisasi baru secara otomatis (konfigurasi pusat)
<a name="central-configuration-auto-enable"></a>

Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), Anda dapat mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru dan yang sudah ada dengan membuat kebijakan konfigurasi tempat CSPM Security Hub diaktifkan. Anda kemudian dapat mengaitkan kebijakan dengan root organisasi atau unit organisasi tertentu (OUs).

Jika Anda mengaitkan kebijakan konfigurasi di mana Security Hub CSPM diaktifkan dengan OU tertentu, Security Hub CSPM secara otomatis diaktifkan di semua akun (yang ada dan baru) milik OU tersebut. Akun baru yang bukan milik OU dikelola sendiri dan tidak secara otomatis mengaktifkan Security Hub CSPM. Jika Anda mengaitkan kebijakan konfigurasi di mana Security Hub CSPM diaktifkan dengan root, Security Hub CSPM secara otomatis diaktifkan di semua akun (yang ada dan baru) yang bergabung dengan organisasi. Pengecualian adalah jika akun menggunakan kebijakan yang berbeda melalui aplikasi atau warisan, atau dikelola sendiri.

Dalam kebijakan konfigurasi, Anda juga dapat menentukan standar dan kontrol keamanan mana yang harus diaktifkan di OU. Untuk menghasilkan temuan kontrol untuk standar yang diaktifkan, akun di OU harus AWS Config diaktifkan dan dikonfigurasi untuk mencatat sumber daya yang diperlukan. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Mengaktifkan dan mengonfigurasi AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Untuk petunjuk cara membuat kebijakan konfigurasi, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

## Mengaktifkan akun organisasi baru secara otomatis (konfigurasi lokal)
<a name="limited-configuration-auto-enable"></a>

Saat Anda menggunakan konfigurasi lokal dan mengaktifkan pengaktifan otomatis standar default, Security Hub CSPM menambahkan akun organisasi *baru* sebagai anggota dan mengaktifkan CSPM Security Hub di dalamnya di Wilayah saat ini. Wilayah lain tidak terpengaruh. Selain itu, mengaktifkan pengaktifan otomatis tidak mengaktifkan CSPM Security Hub di akun organisasi *yang ada* kecuali akun tersebut sudah ditambahkan sebagai akun anggota.

Setelah mengaktifkan pengaktifan otomatis, standar keamanan default diaktifkan untuk akun anggota baru di Wilayah saat ini ketika mereka bergabung dengan organisasi. Standar default adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Anda tidak dapat mengubah standar default. Jika Anda ingin mengaktifkan standar lain di seluruh organisasi Anda, atau mengaktifkan standar untuk akun tertentu dan OUs, sebaiknya gunakan konfigurasi pusat.

Untuk menghasilkan temuan kontrol untuk standar default (dan standar lain yang diaktifkan), akun di organisasi Anda harus telah AWS Config diaktifkan dan dikonfigurasi untuk merekam sumber daya yang diperlukan. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat [Mengaktifkan dan mengonfigurasi AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru. Petunjuk ini hanya berlaku jika Anda menggunakan konfigurasi lokal.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan akun organisasi baru secara otomatis sebagai anggota CSPM Security Hub**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Tanda menggunakan kredensi akun administrator yang didelegasikan.

1. **Di panel navigasi CSPM Security Hub, di bawah **Pengaturan, pilih Konfigurasi**.**

1. Di bagian **Akun**, nyalakan **Akun Aktifkan otomatis**.

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan akun organisasi baru secara otomatis sebagai anggota CSPM Security Hub**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dari akun administrator yang didelegasikan. Setel `AutoEnable` bidang `true` untuk mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru.

------
#### [ AWS CLI ]

**Untuk mengaktifkan akun organisasi baru secara otomatis sebagai anggota CSPM Security Hub**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)perintah dari akun administrator yang didelegasikan. Sertakan `auto-enable` parameter untuk mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Mengaktifkan CSPM Security Hub secara manual di akun organisasi baru
<a name="orgs-accounts-enable"></a>

Jika Anda tidak mengaktifkan CSPM Security Hub secara otomatis di akun organisasi baru saat mereka bergabung dengan organisasi, Anda dapat menambahkan akun tersebut sebagai anggota dan mengaktifkan CSPM Security Hub di dalamnya secara manual setelah mereka bergabung dengan organisasi. Anda juga harus mengaktifkan CSPM Security Hub secara manual Akun AWS karena sebelumnya Anda terputus dari organisasi.

**catatan**  
Bagian ini tidak berlaku untuk Anda jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md). Jika Anda menggunakan konfigurasi pusat, Anda dapat membuat kebijakan konfigurasi yang mengaktifkan CSPM Security Hub di akun anggota tertentu dan unit organisasi ()OUs. Anda juga dapat mengaktifkan standar dan kontrol tertentu di akun tersebut dan OUs.

Anda tidak dapat mengaktifkan CSPM Security Hub di akun jika sudah menjadi akun anggota dalam organisasi yang berbeda.

Anda juga tidak dapat mengaktifkan CSPM Security Hub di akun yang saat ini ditangguhkan. Jika Anda mencoba mengaktifkan layanan di akun yang ditangguhkan, status akun berubah menjadi **Akun Ditangguhkan**.
+ Jika akun tidak mengaktifkan CSPM Security Hub, CSPM Security Hub diaktifkan di akun tersebut. Standar AWS Foundational Security Best Practices (FSBP) dan CIS AWS Foundations Benchmark v1.2.0 juga diaktifkan di akun kecuali Anda mematikan standar keamanan default.

  Pengecualian untuk ini adalah akun manajemen Organizations. Security Hub CSPM tidak dapat diaktifkan secara otomatis di akun manajemen Organisasi. Anda harus mengaktifkan CSPM Security Hub secara manual di akun manajemen Organisasi sebelum dapat menambahkannya sebagai akun anggota.
+ Jika akun sudah mengaktifkan Security Hub CSPM, Security Hub CSPM tidak membuat perubahan lain pada akun tersebut. Ini hanya memungkinkan keanggotaan.

Agar Security Hub CSPM dapat menghasilkan temuan kontrol, akun anggota harus telah AWS Config diaktifkan dan dikonfigurasi untuk merekam sumber daya yang diperlukan. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan akun organisasi sebagai akun anggota CSPM Security Hub.

------
#### [ Security Hub CSPM console ]

**Mengaktifkan akun organisasi secara manual sebagai anggota CSPM Security Hub**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator yang didelegasikan.

1. **Di panel navigasi CSPM Security Hub, di bawah **Pengaturan, pilih Konfigurasi**.**

1. Dalam daftar **Akun**, pilih setiap akun organisasi yang ingin Anda aktifkan.

1. Pilih **Tindakan**, lalu pilih **Tambah anggota**.

------
#### [ Security Hub CSPM API ]

**Mengaktifkan akun organisasi secara manual sebagai anggota CSPM Security Hub**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API dari akun administrator yang didelegasikan. Agar setiap akun dapat diaktifkan, berikan ID akun.

Tidak seperti proses undangan manual, ketika Anda memanggil `CreateMembers` untuk mengaktifkan akun organisasi, Anda tidak perlu mengirim undangan.

------
#### [ AWS CLI ]

**Mengaktifkan akun organisasi secara manual sebagai anggota CSPM Security Hub**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)perintah dari akun administrator yang didelegasikan. Agar setiap akun dapat diaktifkan, berikan ID akun.

Berbeda dengan proses undangan manual, ketika Anda menjalankan `create-members` untuk mengaktifkan akun organisasi, Anda tidak perlu mengirim undangan.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Contoh**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Memutuskan akun anggota CSPM Security Hub dari organisasi Anda
<a name="accounts-orgs-disassociate"></a>

Untuk berhenti menerima dan melihat temuan dari akun anggota CSPM AWS Security Hub, Anda dapat memisahkan akun anggota dari organisasi Anda.

**catatan**  
Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), disassociation bekerja secara berbeda. Anda dapat membuat kebijakan konfigurasi yang menonaktifkan CSPM Security Hub di satu atau beberapa akun anggota yang dikelola secara terpusat. Setelah itu, akun-akun ini masih menjadi bagian dari organisasi, tetapi tidak akan menghasilkan temuan CSPM Security Hub. Jika Anda menggunakan konfigurasi pusat tetapi juga memiliki akun anggota yang diundang secara manual, Anda dapat memisahkan satu atau beberapa akun yang diundang secara manual.

Akun anggota yang dikelola menggunakan tidak AWS Organizations dapat memisahkan akun mereka dari akun administrator. Hanya akun administrator yang dapat memisahkan akun anggota.

Memutuskan hubungan akun anggota tidak menutup akun. Sebaliknya, itu menghapus akun anggota dari organisasi. Akun anggota yang terputus menjadi mandiri Akun AWS yang tidak lagi dikelola oleh integrasi CSPM Security Hub dengan. AWS Organizations

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memisahkan akun anggota dari organisasi.

------
#### [ Security Hub CSPM console ]

**Untuk memisahkan akun anggota dari organisasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator yang didelegasikan.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Konfigurasi**.

1. Di bagian **Akun**, pilih akun yang ingin Anda pisahkan. Jika Anda menggunakan konfigurasi pusat, Anda dapat memilih akun yang diundang secara manual untuk dipisahkan dari tab. `Invitation accounts` Tab ini hanya terlihat jika Anda menggunakan konfigurasi pusat.

1. Pilih **Tindakan**, lalu pilih **Putuskan akun**.

------
#### [ Security Hub CSPM API ]

**Untuk memisahkan akun anggota dari organisasi**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API dari akun administrator yang didelegasikan. Anda harus menyediakan akun anggota untuk dipisahkan. Akun AWS IDs Untuk melihat daftar akun anggota, panggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Untuk memisahkan akun anggota dari organisasi**

Jalankan [`disassociate-members`perintah>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) dari akun administrator yang didelegasikan. Anda harus menyediakan akun anggota untuk dipisahkan. Akun AWS IDs Untuk melihat daftar akun anggota, jalankan [`list-members`perintah>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Contoh**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Anda juga dapat menggunakan AWS Organizations konsol, AWS CLI, atau AWS SDKs untuk memisahkan akun anggota dari organisasi Anda. Untuk informasi selengkapnya, lihat [Menghapus akun anggota dari organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) di *Panduan AWS Organizations Pengguna*.

# Mengelola akun dengan undangan di Security Hub CSPM
<a name="account-management-manual"></a>

Anda dapat mengelola beberapa akun CSPM AWS Security Hub secara terpusat dengan dua cara, dengan mengintegrasikan Security Hub CSPM AWS Organizations dengan atau dengan mengirim dan menerima undangan keanggotaan secara manual. Anda harus menggunakan proses manual jika Anda memiliki akun mandiri atau Anda tidak berintegrasi dengannya AWS Organizations. Dalam manajemen akun manual, administrator CSPM Security Hub mengundang akun untuk menjadi anggota. Hubungan administrator-anggota terjalin ketika calon anggota menerima undangan. Akun administrator CSPM Security Hub dapat mengelola CSPM Security Hub hingga 1.000 akun anggota berbasis undangan. 

**catatan**  
[Jika Anda membuat organisasi berbasis undangan di Security Hub CSPM, Anda selanjutnya dapat beralih menggunakan. AWS Organizations](accounts-transition-to-orgs.md) Jika Anda memiliki lebih dari satu akun anggota, sebaiknya AWS Organizations gunakan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Agregasi temuan Lintas Wilayah dan data lainnya tersedia untuk akun yang Anda undang melalui proses undangan manual. Namun, administrator harus mengundang akun anggota dari Wilayah agregasi dan semua Wilayah yang ditautkan agar agregasi lintas wilayah berfungsi. Selain itu, akun anggota harus mengaktifkan CSPM Security Hub di Wilayah agregasi dan semua Wilayah yang ditautkan untuk memberikan administrator kemampuan untuk melihat temuan dari akun anggota.

Kebijakan konfigurasi tidak didukung untuk akun anggota yang diundang secara manual. Sebagai gantinya, Anda harus mengonfigurasi pengaturan CSPM Security Hub secara terpisah di setiap akun anggota dan Wilayah AWS saat Anda menggunakan proses undangan manual.

Anda juga harus menggunakan proses berbasis undangan manual untuk akun yang bukan milik organisasi Anda. Misalnya, Anda mungkin tidak menyertakan akun pengujian di organisasi Anda. Atau, Anda mungkin ingin menggabungkan akun dari beberapa organisasi di bawah satu akun administrator CSPM Security Hub. Akun administrator CSPM Security Hub harus mengirim undangan ke akun milik organisasi lain.

Pada halaman **Konfigurasi** konsol CSPM Security Hub, akun yang ditambahkan melalui undangan tercantum di tab **Akun undangan**. Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), tetapi juga mengundang akun di luar organisasi, Anda dapat melihat temuan dari akun berbasis undangan di tab ini. Namun, administrator CSPM Security Hub tidak dapat mengonfigurasi akun berbasis undangan di seluruh Wilayah melalui penggunaan kebijakan konfigurasi.

Topik di bagian ini menjelaskan cara mengelola akun anggota melalui undangan.

**Topics**
+ [Menambahkan dan mengundang akun anggota di Security Hub CSPM](securityhub-accounts-add-invite.md)
+ [Menanggapi undangan untuk menjadi akun anggota CSPM Security Hub](securityhub-invitation-respond.md)
+ [Memutuskan akun anggota di Security Hub CSPM](securityhub-disassociate-members.md)
+ [Menghapus akun anggota di Security Hub CSPM](securityhub-delete-member-accounts.md)
+ [Memutuskan hubungan dari akun administrator CSPM Security Hub](securityhub-disassociate-from-admin.md)
+ [Transisi ke Organizations untuk mengelola akun di Security Hub CSPM](accounts-transition-to-orgs.md)

# Menambahkan dan mengundang akun anggota di Security Hub CSPM
<a name="securityhub-accounts-add-invite"></a>

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Akun Anda menjadi administrator CSPM AWS Security Hub untuk akun yang menerima undangan Anda untuk menjadi akun anggota CSPM Security Hub.

Ketika Anda menerima undangan dari akun lain, akun Anda menjadi akun anggota, dan akun itu menjadi administrator Anda.

Jika akun Anda adalah akun administrator, Anda tidak dapat menerima undangan untuk menjadi akun anggota.

Menambahkan akun anggota terdiri dari langkah-langkah berikut:

1. Akun administrator menambahkan akun anggota ke daftar akun anggota mereka.

1. Akun administrator mengirimkan undangan ke akun anggota.

1. Akun anggota menerima undangan. 

## Menambahkan akun anggota
<a name="securityhub-add-accounts"></a>

Dari konsol CSPM Security Hub, Anda dapat menambahkan akun ke daftar akun anggota Anda. Di konsol CSPM Security Hub, Anda dapat memilih akun satu per satu, atau mengunggah `.csv` file yang berisi informasi akun.

Untuk setiap akun, Anda harus memberikan ID akun dan alamat email. Alamat email harus berupa alamat email untuk dihubungi tentang masalah keamanan di akun. Ini tidak digunakan untuk memverifikasi akun.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menambahkan akun anggota.

------
#### [ Security Hub CSPM console ]

**Untuk menambahkan akun ke daftar akun anggota Anda**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator.

1. Di panel kiri, pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih **Akun**, lalu pilih **Tambah akun**. Anda kemudian dapat menambahkan akun satu per satu atau mengunggah `.csv` file yang berisi daftar akun.

1. Untuk memilih akun, lakukan salah satu hal berikut:
   + Untuk menambahkan akun satu per satu, di bawah **Masukkan akun**, masukkan ID akun dan alamat email akun yang akan ditambahkan, lalu pilih **Tambah**.

     Ulangi proses ini untuk setiap akun.
   + Untuk menggunakan file nilai yang dipisahkan koma (.csv) untuk menambahkan beberapa akun, buat file terlebih dahulu. File harus berisi ID akun dan alamat email untuk ditambahkan setiap akun.

     Dalam `.csv` daftar Anda, akun harus muncul satu per baris. Baris pertama `.csv` file harus berisi header. Di header, kolom pertama adalah **Account ID** dan kolom kedua adalah**Email**.

     Setiap baris berikutnya harus berisi ID akun dan alamat email yang valid untuk ditambahkan akun.

     Berikut adalah contoh `.csv` file ketika dilihat di editor teks.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     Dalam program spreadsheet, bidang muncul di kolom terpisah. Format yang mendasarinya masih dipisahkan koma. Anda harus memformat akun IDs sebagai angka non-desimal. Misalnya, ID akun 444455556666 tidak dapat diformat sebagai 444455556666.0. Pastikan juga bahwa pemformatan angka tidak menghapus nol di depan dari ID akun.

     Untuk memilih file, di konsol, pilih **Unggah daftar (.csv**). Kemudian pilih **Browse**.

     Setelah Anda memilih file, pilih **Tambah akun**.

1. Setelah Anda selesai menambahkan akun, di bawah **Akun yang akan ditambahkan**, pilih **Berikutnya**.

------
#### [ Security Hub CSPM API ]

**Untuk menambahkan akun ke daftar akun anggota Anda**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API dari akun administrator. Untuk setiap akun anggota untuk ditambahkan, Anda harus memberikan Akun AWS ID.

------
#### [ AWS CLI ]

**Untuk menambahkan akun ke daftar akun anggota Anda**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)perintah dari akun administrator. Untuk setiap akun anggota untuk ditambahkan, Anda harus memberikan Akun AWS ID.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Contoh**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Mengundang akun anggota
<a name="securityhub-invite-accounts"></a>

Setelah Anda menambahkan akun anggota, Anda mengirim undangan ke akun anggota. Anda juga dapat mengirim ulang undangan ke akun yang Anda lepaskan dari administrator.

------
#### [ Security Hub CSPM console ]

**Mengundang akun calon member**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator.

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Akun**. 

1. Untuk akun yang akan diundang, pilih **Undang** di kolom **Status**.

1. Saat diminta untuk mengonfirmasi, pilih **Undang**.

**catatan**  
**Untuk mengirim ulang undangan ke akun yang tidak terkait, pilih setiap akun yang tidak terkait di halaman Akun.** Untuk **Tindakan**, pilih **Kirim ulang undangan**.

------
#### [ Security Hub CSPM API ]

**Mengundang akun calon member**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API dari akun administrator. Untuk setiap akun yang akan diundang, Anda harus memberikan Akun AWS ID.

------
#### [ AWS CLI ]

**Mengundang akun calon member**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)perintah dari akun administrator. Untuk setiap akun yang akan diundang, Anda harus memberikan Akun AWS ID.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Contoh**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Menanggapi undangan untuk menjadi akun anggota CSPM Security Hub
<a name="securityhub-invitation-respond"></a>

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Anda dapat menerima atau menolak undangan untuk menjadi akun anggota CSPM AWS Security Hub.

Jika Anda menerima undangan, akun Anda menjadi akun anggota CSPM Security Hub. Akun yang mengirim undangan menjadi akun administrator CSPM Security Hub Anda. Pengguna akun administrator dapat melihat temuan untuk akun anggota Anda di Security Hub CSPM.

Jika Anda menolak undangan, maka akun Anda ditandai sebagai **Mengundurkan diri** pada daftar akun anggota akun administrator.

Anda hanya dapat menerima satu undangan untuk menjadi akun anggota.

Sebelum Anda dapat menerima atau menolak undangan, Anda harus mengaktifkan Security Hub CSPM.

Ingat bahwa semua akun CSPM Security Hub harus telah AWS Config diaktifkan dan dikonfigurasi untuk merekam semua sumber daya. Untuk detail tentang persyaratan AWS Config, lihat [Mengaktifkan dan mengonfigurasi AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

## Menerima undangan
<a name="securityhub-accept-invitation"></a>

Anda dapat mengirim undangan untuk menjadi akun anggota CSPM Security Hub dari akun administrator. Anda kemudian dapat menerima undangan setelah masuk ke akun anggota.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menerima undangan untuk menjadi akun anggota.

------
#### [ Security Hub CSPM console ]

**Untuk menerima undangan keanggotaan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Akun**.

1. Di bagian **Akun Administrator**, aktifkan **Terima**, lalu pilih **Terima undangan**.

------
#### [ Security Hub CSPM API ]

**Untuk menerima undangan keanggotaan**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API. Anda harus memberikan pengenal undangan dan Akun AWS ID akun administrator. Untuk mengambil detail tentang undangan, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)operasi.

------
#### [ AWS CLI ]

**Untuk menerima undangan keanggotaan**

Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Anda harus memberikan pengenal undangan dan Akun AWS ID akun administrator. Untuk mengambil detail tentang undangan, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)perintah.

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Contoh**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**catatan**  
Konsol CSPM Security Hub terus digunakan. `AcceptInvitation` Pada akhirnya akan berubah untuk digunakan`AcceptAdministratorInvitation`. Setiap kebijakan IAM yang secara khusus mengontrol akses ke fungsi ini harus terus digunakan`AcceptInvitation`. Anda juga harus menambahkan kebijakan Anda `AcceptAdministratorInvitation` untuk memastikan bahwa izin yang benar diberlakukan setelah konsol mulai digunakan`AcceptAdministratorInvitation`.

## Menolak undangan
<a name="securityhub-decline-invitation"></a>

Anda dapat menolak undangan untuk menjadi akun anggota CSPM Security Hub. Saat Anda menolak undangan di konsol CSPM Security Hub, akun Anda ditandai sebagai **Mengundurkan diri** pada daftar akun anggota akun administrator. Status **mengundurkan diri** hanya muncul saat Anda masuk ke konsol CSPM Security Hub menggunakan akun administrator. Namun, undangan tetap tidak berubah di konsol untuk akun anggota sampai Anda masuk ke akun administrator dan menghapus undangan.

Untuk menolak undangan, Anda harus masuk ke akun anggota yang menerima undangan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menolak undangan menjadi akun anggota.

------
#### [ Security Hub CSPM console ]

**Untuk menolak undangan keanggotaan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Akun**.

1. Di bagian **Akun Administrator**, pilih **Tolak undangan**.

------
#### [ Security Hub CSPM API ]

**Untuk menolak undangan keanggotaan**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API. Anda harus memberikan Akun AWS ID akun administrator yang mengeluarkan undangan. Untuk melihat informasi tentang undangan Anda, gunakan operasi. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)

------
#### [ AWS CLI ]

**Untuk menolak undangan keanggotaan**

Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Anda harus memberikan Akun AWS ID akun administrator yang mengeluarkan undangan. Untuk melihat informasi tentang undangan Anda, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Contoh**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Memutuskan akun anggota di Security Hub CSPM
<a name="securityhub-disassociate-members"></a>

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Akun administrator CSPM AWS Security Hub dapat memisahkan akun anggota untuk berhenti menerima dan melihat temuan dari akun tersebut. Anda harus memisahkan akun anggota sebelum Anda dapat menghapusnya.

Saat Anda memisahkan akun anggota, akun tersebut tetap ada dalam daftar akun anggota Anda dengan status **Dihapus (Terputus)**. Akun Anda dihapus dari informasi akun administrator untuk akun anggota.

Untuk melanjutkan menerima temuan untuk akun, Anda dapat mengirim ulang undangan. Untuk menghapus akun anggota sepenuhnya, Anda dapat menghapus akun anggota.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memisahkan akun anggota yang diundang secara manual dari akun administrator.

------
#### [ Security Hub CSPM console ]

**Untuk memisahkan akun anggota yang diundang secara manual**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Konfigurasi**.

1. Di bagian **Akun**, pilih akun yang ingin Anda pisahkan.

1. Pilih **Tindakan**, lalu pilih **Disassociate account**.

------
#### [ Security Hub CSPM API ]

**Untuk memisahkan akun anggota yang diundang secara manual**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API dari akun administrator. Anda harus memberikan akun anggota yang ingin Anda pisahkan. Akun AWS IDs Untuk melihat daftar akun anggota, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)operasi.

------
#### [ AWS CLI ]

**Untuk memisahkan akun anggota yang diundang secara manual**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)perintah dari akun administrator. Anda harus memberikan akun anggota yang ingin Anda pisahkan. Akun AWS IDs Untuk melihat daftar akun anggota, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)perintah.

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Contoh**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Menghapus akun anggota di Security Hub CSPM
<a name="securityhub-delete-member-accounts"></a>

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Sebagai akun administrator CSPM AWS Security Hub, Anda dapat menghapus akun anggota yang ditambahkan melalui undangan. Sebelum Anda dapat menghapus akun yang diaktifkan, Anda harus memisahkannya.

Ketika Anda menghapus akun anggota, itu sepenuhnya dihapus dari daftar. Untuk memulihkan keanggotaan akun, Anda harus menambahkan dan mengundangnya lagi seolah-olah itu adalah akun anggota yang sama sekali baru.

Anda tidak dapat menghapus akun milik organisasi dan yang dikelola menggunakan integrasi dengan AWS Organizations.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus akun anggota yang diundang secara manual.

------
#### [ Security Hub CSPM console ]

**Untuk menghapus akun anggota yang diundang secara manual**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan akun administrator.

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Konfigurasi**.

1. Pilih tab **Akun undangan**. Kemudian, pilih akun yang akan dihapus.

1. Pilih **Tindakan**, lalu pilih **Hapus**. Opsi ini hanya tersedia jika Anda telah memisahkan akun. Anda harus memisahkan akun anggota sebelum dapat dihapus.

------
#### [ Security Hub CSPM API ]

**Untuk menghapus akun anggota yang diundang secara manual**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API dari akun administrator. Anda harus memberikan akun anggota yang ingin Anda hapus. Akun AWS IDs Untuk mengambil daftar akun anggota, panggil API. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)

------
#### [ AWS CLI ]

**Untuk menghapus akun anggota yang diundang secara manual**

Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)perintah dari akun administrator. Anda harus memberikan akun anggota yang ingin Anda hapus. Akun AWS IDs Untuk mengambil daftar akun anggota, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)perintah.

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Contoh**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Memutuskan hubungan dari akun administrator CSPM Security Hub
<a name="securityhub-disassociate-from-admin"></a>

**catatan**  
Sebaiknya gunakan AWS Organizations bukan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Jika akun Anda ditambahkan sebagai akun anggota CSPM AWS Security Hub melalui undangan, Anda dapat memisahkan akun anggota dari akun administrator. Setelah Anda memisahkan akun anggota, Security Hub CSPM tidak mengirimkan temuan dari akun ke akun administrator.

Akun anggota yang dikelola menggunakan integrasi dengan tidak AWS Organizations dapat memisahkan akun mereka dari akun administrator. Hanya administrator yang didelegasikan CSPM Security Hub yang dapat memisahkan akun anggota yang dikelola dengan Organizations.

Ketika Anda memisahkan diri dari akun administrator Anda, akun Anda tetap berada dalam daftar anggota akun administrator dengan status **Mengundurkan diri**. Namun, akun administrator tidak menerima temuan apa pun untuk akun Anda.

Setelah Anda memisahkan diri dari akun administrator, undangan untuk menjadi anggota masih tetap ada. Anda dapat menerima undangan lagi di masa depan.

------
#### [ Security Hub CSPM console ]

**Untuk memisahkan diri dari akun administrator Anda**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih **Akun**.

1. Di bagian **Akun Administrator**, matikan **Terima**, lalu pilih **Perbarui**.

------
#### [ Security Hub CSPM API ]

**Untuk memisahkan diri dari akun administrator Anda**

Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html)API.

------
#### [ AWS CLI ]

**Untuk memisahkan diri dari akun administrator Anda**

Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**catatan**  
Konsol CSPM Security Hub terus digunakan. `DisassociateFromMasterAccount` Pada akhirnya akan berubah untuk digunakan`DisassociateFromAdministratorAccount`. Setiap kebijakan IAM yang secara khusus mengontrol akses ke fungsi ini harus terus digunakan`DisassociateFromMasterAccount`. Anda juga harus menambahkan kebijakan Anda `DisassociateFromAdministratorAccount` untuk memastikan bahwa izin yang benar diberlakukan setelah konsol mulai digunakan`DisassociateFromAdministratorAccount`.

# Transisi ke Organizations untuk mengelola akun di Security Hub CSPM
<a name="accounts-transition-to-orgs"></a>

Ketika Anda mengelola akun secara manual di AWS Security Hub CSPM, Anda harus mengundang akun calon anggota dan mengonfigurasi setiap akun anggota secara terpisah di masing-masing akun. Wilayah AWS

Dengan mengintegrasikan Security Hub CSPM dan AWS Organizations, Anda dapat menghilangkan kebutuhan untuk mengirim undangan dan mendapatkan kontrol lebih besar atas bagaimana Security Hub CSPM dikonfigurasi dan disesuaikan di organisasi Anda. Untuk alasan ini, sebaiknya AWS Organizations gunakan undangan CSPM Security Hub untuk mengelola akun anggota Anda. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md).

Anda dapat menggunakan pendekatan gabungan di mana Anda menggunakan AWS Organizations integrasi, tetapi juga mengundang akun secara manual di luar organisasi Anda. Namun, kami merekomendasikan secara eksklusif menggunakan integrasi Organizations. [Konfigurasi pusat](central-configuration-intro.md), fitur yang membantu Anda mengelola CSPM Security Hub di beberapa akun dan Wilayah, hanya tersedia saat Anda berintegrasi dengan Organizations.

Bagian ini mencakup bagaimana Anda dapat beralih dari manajemen akun berbasis undangan manual ke mengelola akun dengan. AWS Organizations

## Mengintegrasikan CSPM Security Hub dengan AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Pertama, Anda harus mengintegrasikan Security Hub CSPM dan. AWS Organizations

Anda dapat mengintegrasikan layanan ini dengan menyelesaikan langkah-langkah berikut:
+ Buat organisasi di AWS Organizations. Untuk petunjuk, lihat [Membuat organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) di *Panduan AWS Organizations Pengguna*.
+ Dari akun manajemen Organizations, tentukan akun administrator yang didelegasikan CSPM Security Hub.

**catatan**  
Akun manajemen organisasi *tidak* dapat ditetapkan sebagai akun DA.

Untuk petunjuk mendetail, lihat [Mengintegrasikan CSPM Security Hub dengan AWS Organizations](designate-orgs-admin-account.md).

Dengan menyelesaikan langkah-langkah sebelumnya, Anda memberikan [akses tepercaya](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) untuk Security Hub CSPM di. AWS Organizations Ini juga memungkinkan Security Hub CSPM saat ini Wilayah AWS untuk akun administrator yang didelegasikan.

Administrator yang didelegasikan dapat mengelola organisasi di Security Hub CSPM, terutama dengan menambahkan akun organisasi sebagai akun anggota CSPM Security Hub. Administrator juga dapat mengakses pengaturan, data, dan sumber daya CSPM Security Hub tertentu untuk akun tersebut.

Saat Anda beralih ke manajemen akun menggunakan Organizations, akun berbasis undangan tidak secara otomatis menjadi anggota CSPM Security Hub. Hanya akun yang Anda tambahkan ke organisasi baru yang dapat menjadi anggota CSPM Security Hub.

Setelah mengaktifkan integrasi, Anda dapat mengelola akun dengan Organizations. Untuk informasi, lihat [Mengelola Security Hub CSPM untuk beberapa akun dengan AWS Organizations](securityhub-accounts-orgs.md). Manajemen akun bervariasi berdasarkan jenis konfigurasi organisasi Anda.

# Tindakan yang diizinkan oleh administrator dan akun anggota di Security Hub CSPM
<a name="securityhub-accounts-allowed-actions"></a>

Akun administrator dan anggota memiliki akses ke tindakan CSPM AWS Security Hub yang dicatat dalam tabel berikut. Dalam tabel, nilai-nilai memiliki arti sebagai berikut:
+ **Apa saja —** Akun dapat melakukan tindakan untuk akun anggota mana pun di bawah administrator yang sama.
+ **Saat ini —** Akun dapat melakukan tindakan hanya untuk dirinya sendiri (akun yang saat ini Anda masuki).
+ **Dash —** Menunjukkan bahwa akun tidak dapat melakukan tindakan.

Sebagaimana dicatat dalam tabel, tindakan yang diizinkan berbeda berdasarkan apakah Anda berintegrasi dengan AWS Organizations dan jenis konfigurasi yang digunakan organisasi Anda. Untuk informasi tentang perbedaan antara konfigurasi pusat dan lokal, lihat[Mengelola akun dengan AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

Security Hub CSPM tidak menyalin temuan akun anggota ke akun administrator. Di Security Hub CSPM, semua temuan dicerna ke Wilayah tertentu untuk akun tertentu. Di setiap Wilayah, akun administrator dapat melihat dan mengelola temuan untuk akun anggota mereka di Wilayah tersebut.

Jika Anda menetapkan Wilayah agregasi, akun administrator dapat melihat dan mengelola temuan akun anggota dari Wilayah tertaut yang direplikasi ke Wilayah agregasi. Untuk informasi selengkapnya tentang agregasi lintas wilayah, lihat agregasi [Lintas](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) Wilayah.

Tabel berikut menentukan izin default untuk akun administrator dan anggota. Anda dapat menggunakan kebijakan IAM khusus untuk membatasi akses lebih lanjut ke fitur dan fungsi CSPM Security Hub. Untuk panduan dan contoh, lihat posting blog [Menyelaraskan kebijakan IAM ke persona pengguna untuk AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.

## Tindakan yang diizinkan jika Anda berintegrasi dengan Organizations dan menggunakan konfigurasi pusat
<a name="central-configuration-allowed-actions"></a>

Akun administrator dan anggota dapat mengakses tindakan CSPM Security Hub sebagai berikut jika Anda berintegrasi dengan Organizations dan menggunakan konfigurasi pusat.


|  Tindakan  |  Security Hub CSPM mendelegasikan akun administrator  |  Akun anggota yang dikelola secara terpusat  |  Akun anggota yang dikelola sendiri  | 
| --- | --- | --- | --- | 
|  Membuat dan mengelola kebijakan konfigurasi CSPM Security Hub  |  Untuk akun yang dikelola sendiri dan terpusat  |  –  |  –  | 
|  Lihat akun organisasi  |  Setiap  |  –  |  –  | 
|  Putuskan akun anggota  |  Setiap  |  –  |  –  | 
|  Hapus akun anggota  |  Akun non-organisasi apa pun  |  –  |  –  | 
|  Nonaktifkan CSPM Security Hub  |  Untuk akun saat ini dan akun yang dikelola secara terpusat  |  –  |  Saat ini (harus dipisahkan dari akun administrator)  | 
|  Lihat temuan dan temukan sejarah  |  Setiap  |  Saat ini  |  Saat ini  | 
|  Perbarui temuan  |  Setiap  |  Saat ini  |  Saat ini  | 
|  Lihat hasil wawasan  |  Setiap  |  Saat ini  |  Saat ini  | 
|  Lihat detail kontrol  |  Setiap  |  Saat ini  |  Saat ini  | 
|  Mengaktifkan atau menonaktifkan temuan kontrol konsolidasi  |  Setiap  |  –  |  –  | 
|  Aktifkan dan nonaktifkan standar  |  Untuk akun saat ini dan akun yang dikelola secara terpusat  |  –  |  Saat ini  | 
|  Aktifkan dan nonaktifkan kontrol  |  Untuk akun saat ini dan akun yang dikelola secara terpusat  |  –  |  Saat ini  | 
|  Mengaktifkan dan menonaktifkan integrasi  |  Saat ini  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan agregasi lintas wilayah  |  Setiap  |  –  |  –  | 
|  Pilih beranda Wilayah dan terkait Wilayah  |  Apa saja (harus berhenti dan memulai ulang konfigurasi pusat untuk mengubah Wilayah rumah)  |  –  |  –  | 
|  Konfigurasikan tindakan khusus  |  Saat ini  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan aturan otomatisasi  |  Setiap  |  –  |  –  | 
|  Konfigurasikan wawasan khusus  |  Saat ini  |  Saat ini  |  Saat ini  | 

## Tindakan yang diizinkan jika Anda berintegrasi dengan Organizations dan menggunakan konfigurasi lokal
<a name="orgs-allowed-actions"></a>

Akun administrator dan anggota dapat mengakses tindakan CSPM Security Hub sebagai berikut jika Anda berintegrasi dengan Organizations dan menggunakan konfigurasi lokal.


|  Tindakan  |  Security Hub CSPM mendelegasikan akun administrator  |  Akun anggota  | 
| --- | --- | --- | 
|  Membuat dan mengelola kebijakan konfigurasi CSPM Security Hub  |  –  |  –  | 
|  Lihat akun organisasi  |  Setiap  |  –  | 
|  Putuskan akun anggota  |  Setiap  |  –  | 
|  Hapus akun anggota  |  –  |  –  | 
|  Nonaktifkan CSPM Security Hub  |  –  |  Saat ini (jika akun dipisahkan dari administrator yang didelegasikan)  | 
|  Lihat temuan dan temukan sejarah  |  Setiap  |  Saat ini  | 
|  Perbarui temuan  |  Setiap  |  Saat ini  | 
|  Lihat hasil wawasan  |  Setiap  |  Saat ini  | 
|  Lihat detail kontrol  |  Setiap  |  Saat ini  | 
|  Mengaktifkan atau menonaktifkan temuan kontrol konsolidasi  |  Setiap  |  –  | 
|  Aktifkan dan nonaktifkan standar  |  Saat ini  |  Saat ini  | 
|  Secara otomatis mengaktifkan CSPM Security Hub dan standar default di akun organisasi baru  |  Untuk akun saat ini dan akun organisasi baru  |  –  | 
|  Aktifkan dan nonaktifkan kontrol  |  Saat ini  |  Saat ini  | 
|  Mengaktifkan dan menonaktifkan integrasi  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan agregasi lintas wilayah  |  Setiap  |  –  | 
|  Konfigurasikan tindakan khusus  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan aturan otomatisasi  |  Setiap  |  –  | 
|  Konfigurasikan wawasan khusus  |  Saat ini  |  Saat ini  | 

## Tindakan yang diizinkan untuk akun berbasis undangan
<a name="manual-allowed-actions"></a>

Akun administrator dan anggota dapat mengakses tindakan CSPM Security Hub sebagai berikut jika Anda menggunakan metode berbasis undangan untuk mengelola akun secara manual, bukan mengintegrasikan dengan. AWS Organizations


|  Tindakan  |  Akun administrator CSPM Security Hub  |  Akun anggota  | 
| --- | --- | --- | 
|  Membuat dan mengelola kebijakan konfigurasi CSPM Security Hub  |  –  |  –  | 
|  Lihat akun organisasi  |  Setiap  |  –  | 
|  Putuskan akun anggota  |  Setiap  |  Saat ini  | 
|  Hapus akun anggota  |  Setiap  |  –  | 
|  Nonaktifkan CSPM Security Hub  |  Saat ini (jika tidak ada akun anggota yang diaktifkan)  |  Saat ini (jika akun dipisahkan dari akun administrator)  | 
|  Lihat temuan dan temukan sejarah  |  Setiap  |  Saat ini  | 
|  Perbarui temuan  |  Setiap  |  Saat ini  | 
|  Lihat hasil wawasan  |  Setiap  |  Saat ini  | 
|  Lihat detail kontrol  |  Setiap  |  Saat ini  | 
|  Mengaktifkan atau menonaktifkan temuan kontrol konsolidasi  |  Setiap  |  –  | 
|  Aktifkan dan nonaktifkan standar  |  Saat ini  |  Saat ini  | 
|  Secara otomatis mengaktifkan CSPM Security Hub dan standar default di akun organisasi baru  |  –  |  –  | 
|  Aktifkan dan nonaktifkan kontrol  |  Saat ini  |  Saat ini  | 
|  Mengaktifkan dan menonaktifkan integrasi  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan agregasi lintas wilayah  |  Setiap  |  –  | 
|  Konfigurasikan tindakan khusus  |  Saat ini  |  Saat ini  | 
|  Konfigurasikan aturan otomatisasi  |  Setiap  |  –  | 
|  Konfigurasikan wawasan khusus  |  Saat ini  |  Saat ini  | 

# Pengaruh tindakan akun pada data CSPM Security Hub
<a name="securityhub-data-retention"></a>

Tindakan akun ini memiliki efek berikut pada data CSPM AWS Security Hub.

## Security Hub CSPM dinonaktifkan
<a name="securityhub-effects-disable-securityhub"></a>

Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), administrator yang didelegasikan (DA) dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan CSPM AWS Security Hub di akun tertentu dan unit organisasi (). OUs Dalam hal ini, CSPM Security Hub dinonaktifkan di akun yang ditentukan dan OUs di Wilayah asal Anda dan Wilayah yang ditautkan. Jika Anda tidak menggunakan konfigurasi pusat, Anda harus menonaktifkan Security Hub CSPM secara terpisah di setiap akun dan Wilayah tempat Anda mengaktifkannya. Anda tidak dapat menggunakan konfigurasi pusat jika Security Hub CSPM dinonaktifkan di akun DA.

Tidak ada temuan yang dihasilkan atau diperbarui untuk akun administrator jika CSPM Security Hub dinonaktifkan di akun administrator. Temuan arsip yang ada dihapus setelah 30 hari. Temuan aktif yang ada dihapus setelah 90 hari.

Integrasi dengan Layanan AWS yang lain dihapus.

Standar dan kontrol keamanan yang diaktifkan dinonaktifkan.

Data dan pengaturan CSPM Security Hub lainnya, termasuk tindakan kustom, wawasan, dan langganan produk pihak ketiga disimpan selama 90 hari.

## Akun anggota dipisahkan dari akun administrator
<a name="securityhub-effects-member-disassociation"></a>

Ketika akun anggota dipisahkan dari akun administrator, akun administrator kehilangan izin untuk melihat temuan di akun anggota. Namun, Security Hub CSPM masih diaktifkan di kedua akun.

Jika Anda menggunakan konfigurasi pusat, DA tidak dapat mengonfigurasi CSPM Security Hub untuk akun anggota yang dipisahkan dari akun DA.

Pengaturan atau integrasi khusus yang ditentukan untuk akun administrator tidak diterapkan pada temuan dari akun anggota sebelumnya. Misalnya, setelah akun dipisahkan, Anda mungkin memiliki tindakan kustom di akun administrator yang digunakan sebagai pola peristiwa dalam EventBridge aturan Amazon. Namun, tindakan kustom ini tidak dapat digunakan di akun anggota.

**Dalam daftar **Akun** untuk akun administrator CSPM Security Hub, akun yang dihapus memiliki status Terputus.**

## Akun anggota dihapus dari organisasi
<a name="securityhub-effects-member-leaves-org"></a>

Ketika akun anggota dihapus dari organisasi, akun administrator CSPM Security Hub kehilangan izin untuk melihat temuan di akun anggota. Namun, Security Hub CSPM masih diaktifkan di kedua akun dengan pengaturan yang sama sebelum dihapus.

Jika Anda menggunakan konfigurasi pusat, Anda tidak dapat mengonfigurasi CSPM Security Hub untuk akun anggota setelah dihapus dari organisasi tempat administrator yang didelegasikan berada. Namun, akun mempertahankan pengaturan yang dimilikinya sebelum dihapus kecuali Anda mengubahnya secara manual.

**Dalam daftar **Akun** untuk akun administrator CSPM Security Hub, akun yang dihapus memiliki status Dihapus.**

## Akun ditangguhkan
<a name="securityhub-effects-account-suspended"></a>

Ketika Akun AWS ditangguhkan, akun kehilangan izin untuk melihat temuan mereka di Security Hub CSPM. Tidak ada temuan yang dihasilkan atau diperbarui untuk akun itu. Akun administrator untuk akun yang ditangguhkan dapat melihat temuan yang ada untuk akun tersebut.

Untuk akun organisasi, status akun anggota juga dapat berubah menjadi **Akun Ditangguhkan**. Ini terjadi jika akun ditangguhkan pada saat yang sama ketika akun administrator mencoba mengaktifkan akun. Akun administrator untuk akun yang **Ditangguhkan Akun** tidak dapat melihat temuan untuk akun tersebut. Jika tidak, status yang ditangguhkan tidak akan memengaruhi status akun anggota.

Jika Anda menggunakan konfigurasi pusat, asosiasi kebijakan gagal jika administrator yang didelegasikan mencoba mengaitkan kebijakan konfigurasi dengan akun yang ditangguhkan.

Setelah 90 hari, akun dihentikan atau diaktifkan kembali. Ketika akun diaktifkan kembali, izin CSPM Security Hub akan dipulihkan. Jika status akun anggota adalah **Akun Ditangguhkan**, akun administrator harus mengaktifkan akun secara manual.

## Akun ditutup
<a name="securityhub-effects-account-deletion"></a>

Ketika Akun AWS ditutup, Security Hub CSPM merespons penutupan sebagai berikut.

Jika akun tersebut adalah akun administrator CSPM Security Hub, akun tersebut dihapus sebagai akun administrator dan semua akun anggota dihapus. Jika akun tersebut adalah akun anggota, akun tersebut dipisahkan dan dihapus sebagai anggota dari akun administrator CSPM Security Hub.

Security Hub CSPM menyimpan temuan arsip yang ada di akun selama 30 hari. Untuk temuan kontrol, perhitungan 30 hari didasarkan pada nilai untuk `UpdatedAt` bidang temuan. Untuk jenis temuan lain, perhitungan didasarkan pada nilai untuk `UpdatedAt` atau `ProcessedAt` bidang temuan, tanggal mana pun yang terbaru. Pada akhir periode 30 hari ini, Security Hub CSPM secara permanen menghapus temuan dari akun.

Security Hub CSPM mempertahankan temuan aktif yang ada di akun selama 90 hari. Untuk temuan kontrol, perhitungan 90 hari didasarkan pada nilai untuk `UpdatedAt` bidang temuan. Untuk jenis temuan lain, perhitungan didasarkan pada nilai untuk `UpdatedAt` atau `ProcessedAt` bidang temuan, tanggal mana pun yang terbaru. Pada akhir periode 90 hari ini, Security Hub CSPM secara permanen menghapus temuan dari akun.

Untuk retensi jangka panjang dari temuan yang ada, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

**penting**  
Untuk pelanggan yang masuk AWS GovCloud (US) Regions, buat cadangan, lalu hapus data kebijakan dan sumber daya akun lainnya sebelum menutup akun. Anda tidak akan memiliki akses ke sumber daya dan data setelah menutup akun.

Untuk informasi selengkapnya, lihat [Menutup Akun AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) di *Panduan AWS Account Management Referensi*.

# Memahami agregasi lintas wilayah di Security Hub CSPM
<a name="finding-aggregation"></a>

**catatan**  
*Wilayah agregasi* sekarang disebut *Wilayah asal*. Beberapa operasi Security Hub CSPM API masih menggunakan istilah agregasi Region yang lebih lama.

Dengan menggunakan agregasi Lintas wilayah di CSPM AWS Security Hub, Anda dapat mengumpulkan temuan, menemukan pembaruan, wawasan, mengontrol status kepatuhan, dan skor keamanan dari beberapa ke satu Wilayah asal. Wilayah AWS Anda kemudian dapat mengelola semua data ini dari Wilayah asal.

Misalkan Anda menetapkan US East (Virginia N.) sebagai Wilayah asal, dan AS Barat (Oregon) dan AS Barat (California N.) sebagai Wilayah terkait. Ketika Anda melihat halaman **Temuan** di AS Timur (Virginia N.), Anda melihat temuan dari ketiga Wilayah. Pembaruan temuan tersebut juga tercermin di ketiga Wilayah.

**catatan**  
Di AWS GovCloud (US), agregasi lintas wilayah hanya didukung untuk temuan, menemukan pembaruan, dan wawasan di seluruh wilayah. AWS GovCloud (US) Secara khusus, Anda hanya dapat mengumpulkan temuan, menemukan pembaruan, dan wawasan antara AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat). Di Wilayah Tiongkok, agregasi lintas wilayah hanya didukung untuk temuan, menemukan pembaruan, dan wawasan di seluruh Wilayah Tiongkok. Secara khusus, Anda hanya dapat mengumpulkan temuan, menemukan pembaruan, dan wawasan antara Tiongkok (Beijing) dan Tiongkok (Ningxia).

Jika kontrol diaktifkan di Wilayah tertaut tetapi dinonaktifkan di Wilayah asal, Anda dapat melihat status kepatuhan kontrol dari Wilayah asal, tetapi Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah asal. Pengecualiannya adalah jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md). Jika Anda menggunakan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat mengonfigurasi kontrol di Wilayah beranda dan Wilayah tertaut dari Wilayah beranda.

Jika Anda telah menetapkan Wilayah asal, [skor keamanan](standards-security-score.md) memperhitungkan status kontrol di semua Wilayah terkait. Untuk melihat skor keamanan lintas wilayah dan status kepatuhan, tambahkan izin berikut ke peran IAM Anda yang menggunakan CSPM Security Hub:
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## Jenis data yang dikumpulkan
<a name="finding-aggregation-overview"></a>

Bila agregasi lintas wilayah diaktifkan dengan satu atau beberapa Wilayah tertaut, Security Hub CSPM mereplikasi data berikut dari Wilayah tertaut ke Wilayah asal. Ini terjadi di setiap akun yang mengaktifkan agregasi lintas wilayah.
+ Temuan 
+ Wawasan
+ Mengontrol status kepatuhan
+ Skor keamanan

Selain data baru dalam daftar sebelumnya, Security Hub CSPM juga mereplikasi pembaruan data ini antara Wilayah tertaut dan Wilayah asal. Pembaruan yang terjadi di Wilayah tertaut direplikasi ke Wilayah asal. Pembaruan yang terjadi di Wilayah asal direplikasi kembali ke Wilayah yang ditautkan. Jika ada pembaruan yang bertentangan di Wilayah asal dan Wilayah yang ditautkan, maka pembaruan terbaru digunakan.

![\[Saat agregasi lintas wilayah diaktifkan, Security Hub CSPM mereplikasi temuan baru dan terbaru antara Wilayah terkait dan Wilayah asal.\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


Agregasi Lintas Wilayah tidak menambah biaya CSPM Security Hub. Anda tidak dikenakan biaya saat Security Hub CSPM mereplikasi data atau pembaruan baru.

Di Wilayah beranda, halaman **Ringkasan** memberikan tampilan temuan aktif Anda di seluruh Wilayah tertaut. Untuk informasi, lihat [Melihat ringkasan temuan lintas wilayah berdasarkan tingkat keparahan](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). Panel halaman **Ringkasan** lainnya yang menganalisis temuan juga menampilkan informasi dari seluruh Wilayah terkait.

Skor keamanan Anda di Wilayah asal dihitung dengan membandingkan jumlah kontrol yang diteruskan dengan jumlah kontrol yang diaktifkan di semua Wilayah yang ditautkan. Selain itu, jika kontrol diaktifkan di setidaknya satu Wilayah yang ditautkan, kontrol akan terlihat di halaman detail **standar Keamanan** di Wilayah asal. Status kepatuhan kontrol pada halaman detail standar mencerminkan temuan di seluruh Wilayah terkait. Jika pemeriksaan keamanan yang terkait dengan kontrol gagal di satu atau beberapa Wilayah yang ditautkan, status kepatuhan kontrol tersebut akan ditampilkan sebagai **Gagal** pada halaman detail standar Wilayah beranda. Jumlah pemeriksaan keamanan mencakup temuan dari semua Wilayah terkait.

Security Hub CSPM hanya mengumpulkan data dari Wilayah di mana akun memiliki CSPM Security Hub diaktifkan. Security Hub CSPM tidak diaktifkan secara otomatis untuk akun berdasarkan konfigurasi agregasi lintas wilayah.

Agregasi lintas wilayah dapat diaktifkan tanpa Wilayah yang ditautkan dipilih. Dalam hal ini, tidak ada replikasi data yang terjadi.

## Agregasi untuk akun administrator dan anggota
<a name="finding-aggregation-admin-member"></a>

Akun mandiri, akun anggota, dan akun administrator dapat mengonfigurasi agregasi lintas wilayah. Jika dikonfigurasi oleh administrator, keberadaan akun administrator sangat penting agar agregasi lintas wilayah berfungsi di akun yang dikelola. Jika akun administrator dihapus atau dipisahkan dari akun anggota, agregasi lintas wilayah untuk akun anggota akan berhenti. Hal ini berlaku bahkan jika akun telah mengaktifkan agregasi lintas wilayah sebelum hubungan administrator-anggota dimulai.

Saat akun administrator mengaktifkan agregasi Lintas wilayah, CSPM Security Hub mereplikasi data yang dihasilkan akun administrator di semua Wilayah tertaut ke Wilayah beranda. Selain itu, Security Hub CSPM mengidentifikasi akun anggota yang terkait dengan administrator tersebut, dan setiap akun anggota mewarisi pengaturan agregasi lintas wilayah administrator. Security Hub CSPM mereplikasi data yang dihasilkan akun anggota di semua Wilayah tertaut ke Wilayah asal.

Administrator dapat mengakses dan mengelola temuan keamanan dari semua akun anggota dalam wilayah yang dikelola. Namun, sebagai administrator CSPM Security Hub, Anda harus masuk ke Wilayah beranda untuk melihat data gabungan dari semua akun anggota dan Wilayah yang ditautkan.

Sebagai akun anggota CSPM Security Hub, Anda harus masuk ke Wilayah beranda untuk melihat data agregat dari akun Anda dari semua Wilayah yang ditautkan. Akun anggota tidak memiliki izin untuk melihat data dari akun anggota lainnya.

Akun administrator dapat mengundang akun anggota secara manual atau berfungsi sebagai administrator yang didelegasikan dari organisasi yang terintegrasi dengannya AWS Organizations. Untuk [akun anggota yang diundang secara manual, administrator harus mengundang akun](account-management-manual.md) dari Wilayah asal dan semua Wilayah yang ditautkan agar agregasi Lintas wilayah berfungsi. Selain itu, akun anggota harus mengaktifkan CSPM Security Hub di Wilayah asal dan semua Wilayah yang ditautkan untuk memberikan administrator kemampuan untuk melihat temuan dari akun anggota. Jika Anda tidak menggunakan Wilayah asal untuk tujuan lain, Anda dapat menonaktifkan standar dan integrasi CSPM Security Hub di Wilayah tersebut untuk mencegah biaya.

Jika Anda berencana untuk menggunakan agregasi lintas wilayah, dan memiliki beberapa akun administrator, sebaiknya ikuti praktik terbaik berikut ini:
+ Setiap akun administrator memiliki akun anggota yang berbeda.
+ Setiap akun administrator memiliki akun anggota yang sama di seluruh Wilayah.
+ Setiap akun administrator menggunakan Wilayah rumah yang berbeda.

**catatan**  
Untuk memahami bagaimana agregasi lintas wilayah memengaruhi konfigurasi pusat, lihat. [Dampak konfigurasi pusat pada agregasi lintas wilayah](aggregation-central-configuration.md)

# Dampak konfigurasi pusat pada agregasi lintas wilayah
<a name="aggregation-central-configuration"></a>

Konfigurasi pusat adalah fitur opt-in di AWS Security Hub CSPM yang dapat Anda gunakan jika Anda mengintegrasikan dengan. AWS Organizations Jika Anda menggunakan konfigurasi pusat, akun administrator yang didelegasikan dapat mengonfigurasi layanan, standar, dan kontrol CSPM Security Hub untuk akun dan unit organisasi (OU) dalam organisasi. Untuk mengonfigurasi akun dan OUs, administrator yang didelegasikan membuat kebijakan konfigurasi CSPM Security Hub. Kebijakan konfigurasi dapat digunakan untuk menentukan apakah CSPM Security Hub diaktifkan atau dinonaktifkan, dan standar dan kontrol mana yang diaktifkan. Administrator yang didelegasikan mengaitkan kebijakan konfigurasi dengan akun tertentu OUs, atau root (seluruh organisasi).

Administrator yang didelegasikan dapat membuat dan mengelola kebijakan konfigurasi untuk organisasi hanya dari Wilayah asal. Selain itu, kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang hanya berlaku di beberapa Wilayah tertaut dan bukan yang lain. Untuk informasi tentang agregasi lintas wilayah, lihat agregasi [lintas](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) wilayah.

Untuk menggunakan konfigurasi pusat, Anda harus menunjuk Wilayah rumah. Secara opsional, Anda dapat memilih satu atau beberapa Wilayah sebagai Wilayah yang ditautkan. Anda juga dapat memilih untuk menunjuk Wilayah asal tanpa Wilayah terkait.

Mengubah setelan agregasi lintas wilayah dapat memengaruhi kebijakan konfigurasi Anda. Saat Anda menambahkan Wilayah tertaut, kebijakan konfigurasi Anda akan berlaku di Wilayah tersebut. Jika Region adalah [Region opt-in](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html), Region harus diaktifkan agar kebijakan konfigurasi Anda berlaku di sana. Sebaliknya, saat Anda menghapus Wilayah tertaut, kebijakan konfigurasi tidak lagi berlaku di Wilayah tersebut. Di Wilayah itu, akun mempertahankan pengaturan yang mereka miliki saat Wilayah yang ditautkan dihapus. Anda dapat mengubah pengaturan tersebut, tetapi harus melakukannya secara terpisah di setiap akun dan Wilayah.

Jika Anda menghapus atau mengubah Wilayah beranda, kebijakan konfigurasi dan asosiasi kebijakan Anda akan dihapus. Anda tidak dapat lagi menggunakan konfigurasi pusat atau membuat kebijakan konfigurasi di Wilayah mana pun. Akun mempertahankan pengaturan yang mereka miliki sebelum Wilayah asal diubah atau dihapus. Anda dapat mengubah pengaturan tersebut kapan saja, tetapi karena Anda tidak lagi menggunakan konfigurasi pusat, pengaturan harus dimodifikasi secara terpisah di setiap akun dan Wilayah. Anda dapat menggunakan konfigurasi pusat dan membuat kebijakan konfigurasi lagi jika Anda menunjuk Wilayah rumah baru.

Untuk informasi selengkapnya tentang konfigurasi pusat, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

# Mengaktifkan agregasi lintas wilayah
<a name="finding-aggregation-enable"></a>

**catatan**  
*Wilayah agregasi* sekarang disebut *Wilayah asal*. Beberapa operasi Security Hub CSPM API masih menggunakan istilah agregasi Region yang lebih lama.

Anda harus mengaktifkan agregasi lintas wilayah dari Wilayah AWS yang ingin Anda tetapkan sebagai Wilayah asal.

Untuk mengaktifkan agregasi lintas wilayah, Anda membuat sumber daya CSPM Security Hub yang disebut agregator pencarian. Sumber daya agregator temuan menentukan Wilayah asal Anda dan Wilayah yang ditautkan (jika ada).

Anda tidak dapat menggunakan Wilayah AWS yang dinonaktifkan secara default sebagai Wilayah rumah Anda. Untuk daftar Wilayah yang dinonaktifkan secara default, lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) di. *Referensi Umum AWS*

Bila Anda mengaktifkan agregasi lintas wilayah, Anda memilih untuk menentukan satu atau beberapa Wilayah tertaut jika diinginkan. Anda juga dapat memilih apakah akan secara otomatis menautkan Wilayah baru saat Security Hub CSPM mulai mendukungnya dan Anda telah memilihnya.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan agregasi lintas wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Menggunakan Wilayah AWS pemilih, masuk ke Wilayah yang ingin Anda gunakan sebagai Wilayah agregasi.

1. **Di menu navigasi CSPM Security Hub, pilih **Pengaturan** dan kemudian Wilayah.**

1. Untuk **Menemukan agregasi**, pilih **Konfigurasikan agregasi pencarian**.

   Secara default, Wilayah beranda diatur ke **No agregasi Region**.

1. Di bawah **Wilayah Agregasi**, pilih opsi untuk menetapkan Wilayah saat ini sebagai Wilayah asal.

1. Secara opsional, untuk **Wilayah Tertaut**, pilih Wilayah untuk mengumpulkan data.

1. Untuk secara otomatis menggabungkan data dari Wilayah baru di partisi sebagai Security Hub CSPM mendukungnya dan Anda memilihnya, pilih Tautkan Wilayah **masa depan**.

1. Pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

Dari Region yang ingin Anda gunakan sebagai Wilayah asal, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)perintah.

Untuk`RegionLinkingMode`, pilih salah satu opsi berikut:
+ `ALL_REGIONS`— Security Hub CSPM mengumpulkan data dari semua Wilayah. Security Hub CSPM juga mengumpulkan data dari Wilayah baru karena didukung dan Anda memilihnya.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`— Security Hub CSPM mengumpulkan data dari semua Wilayah kecuali untuk Wilayah yang ingin Anda kecualikan. Security Hub CSPM juga mengumpulkan data dari Wilayah baru karena didukung dan Anda memilihnya. Gunakan `Regions` untuk menyediakan daftar Wilayah untuk dikecualikan dari agregasi.
+ `SPECIFIED_REGIONS`— Security Hub CSPM mengumpulkan data dari daftar Wilayah yang dipilih. Security Hub CSPM tidak mengumpulkan data secara otomatis dari Wilayah baru. Gunakan `Regions` untuk menyediakan daftar Wilayah untuk dikumpulkan dari.
+ `NO_REGIONS`— Security Hub CSPM tidak mengumpulkan data karena Anda tidak memilih Wilayah yang ditautkan.

Contoh berikut mengkonfigurasi agregasi lintas wilayah. Wilayah asalnya adalah US East (Virginia N.). Wilayah yang terhubung adalah US West (California N.) dan US West (Oregon). Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Meninjau pengaturan agregasi lintas wilayah
<a name="finding-aggregation-view-config"></a>

**catatan**  
*Wilayah agregasi* sekarang disebut *Wilayah asal*. Beberapa operasi Security Hub CSPM API masih menggunakan istilah agregasi Region yang lebih lama.

Anda dapat melihat konfigurasi agregasi Lintas wilayah saat ini di CSPM AWS Security Hub dari mana pun. Wilayah AWS Konfigurasi mencakup Wilayah asal, Wilayah yang ditautkan (jika ada), dan apakah akan secara otomatis menautkan Wilayah baru sebagai Security Hub CSPM mendukungnya.

Akun anggota dapat melihat setelan agregasi lintas wilayah yang dikonfigurasi oleh akun administrator.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat pengaturan agregasi lintas wilayah Anda saat ini.

------
#### [ Security Hub CSPM console ]

**Untuk melihat setelan agregasi lintas wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, pilih **Pengaturan** dan kemudian tab **Wilayah**.

Jika agregasi lintas wilayah tidak diaktifkan, maka tab **Wilayah** menampilkan opsi untuk mengaktifkan agregasi lintas wilayah. Hanya akun administrator dan akun mandiri yang dapat mengaktifkan agregasi lintas wilayah.

Jika agregasi lintas wilayah diaktifkan, maka tab **Wilayah** menampilkan informasi berikut:
+ Wilayah asal
+ Apakah akan secara otomatis menggabungkan temuan, wawasan, status kontrol, dan skor keamanan dari Wilayah baru yang didukung CSPM Security Hub dan yang Anda pilih
+ Daftar Wilayah tertaut (jika ada yang dipilih)

------
#### [ Security Hub CSPM API ]

**Untuk meninjau setelan agregasi lintas wilayah (Security Hub CSPM API)**

Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)perintah.

Saat Anda membuat permintaan, berikan ARN agregator temuan. Untuk mendapatkan ARN agregator temuan, gunakan operasi [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)atau [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)perintah.

Contoh berikut menunjukkan pengaturan agregasi lintas wilayah untuk ARN agregator temuan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# Memperbarui pengaturan agregasi lintas wilayah
<a name="finding-aggregation-update"></a>

**catatan**  
*Wilayah agregasi* sekarang disebut *Wilayah asal*. Beberapa operasi Security Hub CSPM API masih menggunakan istilah agregasi Region yang lebih lama.

Anda dapat memperbarui setelan agregasi Lintas wilayah saat ini di CSPM AWS Security Hub dengan mengubah Wilayah tertaut atau Wilayah beranda saat ini. Anda juga dapat mengubah apakah akan secara otomatis mengumpulkan data dari Wilayah AWS yang baru yang didukung CSPM Security Hub.

Perubahan pada agregasi Lintas wilayah tidak diterapkan untuk Wilayah keikutsertaan hingga Anda mengaktifkan Wilayah di wilayah Anda. Akun AWS Wilayah yang AWS diperkenalkan pada atau setelah hingga 20 Maret 2019 adalah Wilayah yang ikut serta.

Bila Anda berhenti menggabungkan data dari Wilayah tertaut, AWS Security Hub CSPM tidak menghapus data agregat yang ada dari Wilayah tersebut yang dapat diakses di Wilayah asal.

Anda tidak dapat menggunakan prosedur pembaruan di bagian ini untuk mengubah Wilayah beranda. Untuk mengubah wilayah rumah, Anda harus melakukan hal berikut:

1. Hentikan agregasi lintas wilayah. Untuk petunjuk, lihat [Menghentikan agregasi lintas wilayah](finding-aggregation-stop.md).

1. Ubah ke Wilayah yang Anda inginkan menjadi Wilayah asal baru.

1. Aktifkan agregasi lintas wilayah. Untuk petunjuk, lihat [Mengaktifkan agregasi lintas wilayah](finding-aggregation-enable.md).

Anda harus memperbarui konfigurasi agregasi lintas wilayah dari Wilayah rumah saat ini.

------
#### [ Security Hub CSPM console ]

**Untuk mengubah Wilayah yang ditautkan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk ke Wilayah agregasi saat ini.

1. **Di menu navigasi CSPM Security Hub, pilih **Pengaturan**, lalu pilih Wilayah.**

1. Untuk **Menemukan agregasi**, pilih **Edit**.

1. Untuk **Wilayah Tertaut**, perbarui Wilayah tertaut yang dipilih.

1. Jika perlu, ubah apakah **Link future Regions** dipilih. Pengaturan ini menentukan apakah Security Hub CSPM secara otomatis menautkan Wilayah baru karena menambahkan dukungan untuk mereka dan Anda memilihnya.

1. Pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)perintah. Untuk mengidentifikasi agregator temuan, Anda harus memberikan agregator temuan ARN. Untuk mendapatkan ARN agregator temuan, gunakan operasi atau [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)perintah.. [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)

Jika mode penautan adalah `ALL_REGIONS_EXCEPT_SPECIFIED` atau`SPECIFIED_REGIONS`, Anda dapat mengubah daftar Wilayah yang dikecualikan atau disertakan. Jika Anda ingin mengubah mode penautan Wilayah ke`NO_REGIONS`, Anda tidak boleh memberikan daftar Wilayah.

Ketika Anda mengubah daftar Wilayah yang dikecualikan atau disertakan, Anda harus memberikan daftar lengkap dengan pembaruan. Misalnya, Anda saat ini mengumpulkan temuan dari US East (Ohio), dan ingin juga mengumpulkan temuan dari US West (Oregon). Anda harus memberikan `Regions` daftar yang berisi US East (Ohio) dan US West (Oregon).

Contoh berikut memperbarui agregasi lintas wilayah ke Wilayah yang dipilih. Perintah dijalankan dari Wilayah asal saat ini, yaitu US East (Virginia N.). Wilayah yang terhubung adalah US West (California N.) dan US West (Oregon). Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# Menghentikan agregasi lintas wilayah
<a name="finding-aggregation-stop"></a>

**catatan**  
*Wilayah agregasi* sekarang disebut *Wilayah asal*. Beberapa operasi Security Hub CSPM API masih menggunakan istilah agregasi Region yang lebih lama.

Jika Anda tidak ingin AWS Security Hub CSPM mengumpulkan data, Anda dapat menghapus agregator temuan Anda. Atau, Anda dapat menyimpan agregator temuan Anda tetapi tidak menautkan apa pun Wilayah AWS ke Wilayah rumah dengan memperbarui agregator yang ada ke mode `NO_REGIONS` penautan.

Untuk mengubah Wilayah rumah Anda, Anda harus menghapus agregator temuan Anda saat ini dan membuat yang baru.

Ketika Anda menghapus agregator temuan Anda, Security Hub CSPM berhenti menggabungkan data. Itu tidak menghapus data agregat yang ada dari Wilayah asal.

## Menghapus agregator temuan (konsol)
<a name="finding-aggregation-stop-console"></a>

Anda dapat menghapus agregator temuan Anda dari Wilayah beranda saat ini saja.

Di Wilayah selain Wilayah rumah, panel **agregasi Menemukan** di konsol CSPM Security Hub menampilkan pesan bahwa Anda harus mengedit konfigurasi di Wilayah beranda. Pilih pesan ini untuk menampilkan tautan untuk beralih ke Wilayah beranda.

------
#### [ Security Hub CSPM console ]

**Untuk menghentikan agregasi lintas wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pastikan Anda masuk ke Wilayah asal Anda saat ini.

1. **Di menu navigasi CSPM Security Hub, pilih **Pengaturan**, lalu pilih Wilayah.**

1. Di bawah **Menemukan agregasi**, pilih **Edit**.

1. Di bawah **Wilayah Agregasi**, pilih **Tidak ada Wilayah agregasi**.

1. Pilih **Simpan**.

1. Pada dialog konfirmasi, di bidang konfirmasi, ketik**Confirm**.

1. Pilih **Konfirmasi**.

------
#### [ Security Hub CSPM API ]

Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)perintah.

Untuk mengidentifikasi agregator temuan yang akan dihapus, berikan ARN agregator temuan. Untuk mendapatkan ARN agregator temuan, gunakan operasi [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)atau [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)perintah.

Contoh berikut menghapus agregator temuan. Perintah dijalankan dari Wilayah asal saat ini, yaitu US East (Virginia N.). Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------

# Memahami standar keamanan di Security Hub CSPM
<a name="standards-view-manage"></a>

Di AWS Security Hub CSPM, *standar keamanan* adalah seperangkat persyaratan yang didasarkan pada kerangka peraturan, praktik terbaik industri, atau kebijakan perusahaan. Untuk detail tentang standar yang didukung oleh Security Hub CSPM saat ini, termasuk kontrol keamanan yang berlaku untuk masing-masing standar, lihat. [Referensi standar untuk Security Hub CSPM](standards-reference.md)

Ketika Anda mengaktifkan standar, Security Hub CSPM secara otomatis mengaktifkan semua kontrol yang berlaku untuk standar. Security Hub CSPM kemudian menjalankan pemeriksaan keamanan pada kontrol, yang menghasilkan temuan CSPM Security Hub. Anda dapat menonaktifkan dan kemudian mengaktifkan kembali kontrol individual seperlunya. Anda juga dapat menonaktifkan standar sepenuhnya. Jika Anda menonaktifkan standar, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan pada kontrol yang berlaku untuk standar. Temuan tidak lagi dihasilkan untuk kontrol.

Selain temuan, Security Hub CSPM menghasilkan skor keamanan untuk setiap standar yang Anda aktifkan. Skor didasarkan pada status kontrol yang berlaku untuk standar. Jika Anda menetapkan Wilayah agregasi, skor keamanan untuk standar mencerminkan status kontrol di semua Wilayah tertaut. Jika Anda administrator CSPM Security Hub untuk suatu organisasi, skor tersebut mencerminkan status kontrol untuk semua akun di organisasi Anda. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Untuk meninjau dan mengelola standar, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API. Di konsol, halaman **standar Keamanan menunjukkan semua standar** keamanan yang didukung CSPM Security Hub saat ini. Ini termasuk deskripsi masing-masing standar dan status standar saat ini. Jika Anda mengaktifkan standar, Anda juga dapat menggunakan halaman ini untuk mengakses detail tambahan untuk standar. Misalnya, Anda dapat meninjau:
+ Skor keamanan saat ini untuk standar.
+ Statistik agregat untuk kontrol yang berlaku untuk standar.
+ Daftar kontrol yang berlaku untuk standar dan saat ini diaktifkan, termasuk status kepatuhan masing-masing.
+ Daftar kontrol yang berlaku untuk standar tetapi saat ini dinonaktifkan.

Untuk analisis yang lebih dalam, Anda dapat memfilter dan mengurutkan data, dan menelusuri untuk meninjau detail kontrol individual yang berlaku untuk standar.

Anda dapat mengaktifkan standar secara individual untuk satu akun dan Wilayah AWS. Namun, untuk menghemat waktu dan mengurangi penyimpangan konfigurasi di lingkungan multi-akun dan Multi-wilayah, sebaiknya gunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengaktifkan dan mengelola standar. Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan yang menentukan cara mengonfigurasi standar di beberapa akun dan Wilayah.

**Topics**
+ [Referensi standar](standards-reference.md)
+ [Mengaktifkan standar](enable-standards.md)
+ [Meninjau detail standar](securityhub-standards-view-controls.md)
+ [Mematikan standar yang diaktifkan secara otomatis](securityhub-auto-enabled-standards.md)
+ [Menonaktifkan standar](disable-standards.md)

# Referensi standar untuk Security Hub CSPM
<a name="standards-reference"></a>

Di AWS Security Hub CSPM, *standar keamanan* adalah seperangkat persyaratan yang didasarkan pada kerangka peraturan, praktik terbaik industri, atau kebijakan perusahaan. Security Hub CSPM memetakan persyaratan ini ke kontrol, dan menjalankan pemeriksaan keamanan pada kontrol untuk menilai apakah persyaratan standar terpenuhi. Setiap standar mencakup beberapa kontrol.

Security Hub CSPM saat ini mendukung standar berikut:
+ **AWS Praktik Terbaik Keamanan Dasar** - Dikembangkan oleh AWS dan profesional industri, standar ini adalah kompilasi praktik terbaik keamanan untuk organisasi, terlepas dari sektor atau ukurannya. Ini menyediakan serangkaian kontrol yang mendeteksi kapan Anda Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan. Ini juga memberikan panduan preskriptif tentang cara meningkatkan dan mempertahankan postur keamanan Anda.
+ **AWS Resource Tagging** — Dikembangkan oleh Security Hub CSPM, standar ini dapat membantu Anda menentukan apakah AWS sumber daya Anda memiliki tag. *Tag* adalah pasangan kunci-nilai yang bertindak sebagai metadata untuk sumber daya. AWS Tag dapat membantu Anda mengidentifikasi, mengkategorikan, mengelola, dan mencari AWS sumber daya. Misalnya, Anda dapat menggunakan tag untuk mengkategorikan sumber daya berdasarkan tujuan, pemilik, atau lingkungan.
+ **CIS AWS Foundations Benchmark** — Dikembangkan oleh Center for Internet Security (CIS), standar ini menyediakan pedoman konfigurasi yang aman untuk. AWS Ini menentukan seperangkat pedoman konfigurasi keamanan dan praktik terbaik untuk subset Layanan AWS dan sumber daya, dengan penekanan pada pengaturan agnostik dasar, dapat diuji, dan arsitektur. Pedoman tersebut mencakup prosedur yang jelas, step-by-step implementasi dan penilaian.
+ **NIST SP 800-53 Revisi 5** — Standar ini sejalan dengan persyaratan National Institute of Standards and Technology (NIST) untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi dan sumber daya penting. Kerangka kerja terkait umumnya berlaku untuk lembaga atau organisasi federal AS yang bekerja dengan lembaga federal AS atau sistem informasi. Namun, organisasi swasta juga dapat menggunakan persyaratan sebagai kerangka panduan.
+ **NIST SP 800-171 Revisi 2** — Standar ini sejalan dengan rekomendasi keamanan NIST dan persyaratan untuk melindungi kerahasiaan Controlled Unclassified Information (CUI) dalam sistem dan organisasi yang bukan bagian dari pemerintah federal AS. *CUI* adalah informasi yang tidak memenuhi kriteria pemerintah untuk klasifikasi, tetapi dianggap sensitif dan dibuat atau dimiliki oleh pemerintah federal AS atau entitas lain atas nama pemerintah federal AS.
+ **PCI DSS** — Standar ini sejalan dengan kerangka kepatuhan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) yang ditentukan oleh Dewan Standar Keamanan PCI (SSC). Kerangka kerja ini menyediakan seperangkat aturan dan pedoman untuk menangani informasi kartu kredit dan debit dengan aman. Kerangka kerja ini umumnya berlaku untuk organisasi yang menyimpan, memproses, atau mengirimkan data pemegang kartu.
+ Standar **yang dikelola layanan, AWS Control Tower- Standar** ini membantu Anda mengonfigurasi kontrol detektif yang disediakan oleh Security Hub CSPM dari. AWS Control Tower AWS Control Tower menawarkan cara mudah untuk mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif.

Standar dan kontrol CSPM Security Hub tidak menjamin kepatuhan terhadap kerangka kerja peraturan atau audit apa pun. Sebaliknya, mereka menyediakan cara untuk mengevaluasi dan memantau keadaan Anda Akun AWS dan sumber daya. Sebaiknya aktifkan setiap standar yang relevan dengan kebutuhan bisnis, industri, atau kasus penggunaan Anda.

Kontrol individu dapat berlaku untuk lebih dari satu standar. Jika Anda mengaktifkan beberapa standar, kami sarankan Anda juga mengaktifkan temuan kontrol terkonsolidasi. Jika Anda melakukan ini, Security Hub CSPM menghasilkan satu temuan untuk setiap kontrol, bahkan jika kontrol berlaku untuk lebih dari satu standar. Jika Anda tidak mengaktifkan temuan kontrol konsolidasi, Security Hub CSPM menghasilkan temuan terpisah untuk setiap standar yang diaktifkan yang diterapkan oleh kontrol. Misalnya, jika Anda mengaktifkan dua standar dan kontrol berlaku untuk keduanya, Anda menerima dua temuan terpisah untuk kontrol, satu untuk setiap standar. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan untuk kontrol. Untuk informasi selengkapnya, lihat [Temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Praktik Terbaik Keamanan Dasar](fsbp-standard.md)
+ [AWS Penandaan Sumber Daya](standards-tagging.md)
+ [Tolok Ukur AWS Yayasan CIS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisi 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisi 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Standar yang dikelola layanan](service-managed-standards.md)

# AWS Standar Praktik Terbaik Keamanan Dasar di Security Hub CSPM
<a name="fsbp-standard"></a>

Dikembangkan oleh AWS dan profesional industri, standar AWS Foundational Security Best Practices (FSBP) adalah kompilasi praktik terbaik keamanan untuk organisasi, terlepas dari sektor atau ukuran organisasi. Ini menyediakan seperangkat kontrol yang mendeteksi kapan Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan. Ini juga memberikan panduan preskriptif tentang bagaimana meningkatkan dan mempertahankan postur keamanan organisasi Anda.

Di AWS Security Hub CSPM, standar Praktik Terbaik Keamanan AWS Dasar mencakup kontrol yang terus mengevaluasi beban kerja Akun AWS dan Anda, dan membantu Anda mengidentifikasi area yang menyimpang dari praktik terbaik keamanan. Kontrol mencakup praktik terbaik keamanan untuk sumber daya dari beberapa sumber daya Layanan AWS. Setiap kontrol diberi kategori yang mencerminkan fungsi keamanan yang diterapkan kontrol. Untuk daftar kategori dan detail tambahan, lihat[Kategori kontrol](control-categories.md).

## Kontrol yang berlaku untuk standar
<a name="fsbp-controls"></a>

Daftar berikut menentukan kontrol CSPM AWS Security Hub mana yang berlaku untuk standar Praktik Terbaik Keamanan AWS Dasar (v1.0.0). Untuk meninjau detail kontrol, pilih kontrol.

 [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 

 [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 

 [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 

 [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 

 [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 

 [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 

 [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 

 [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 

 [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 

 [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 

 [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 

 [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 

 [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 

 [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 

 [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 

 [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 

 [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 

 [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 

 [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat](ec2-controls.md#ec2-3) 

 [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 

 [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) 

 [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16) 

 [[EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18) 

 [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19) 

 [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 

 [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 

 [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 

 [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55)

[[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 

 [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 

 [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 

 [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 

 [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 

 [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 

 [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 

 [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) 

 [[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2) 

 [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 

 [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 

 [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 

 [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 

 [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 

 [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 

 [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 

 [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 

 [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 

 [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 

 [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 

 [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 

 [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 

 [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 

 [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 

 [[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1) 

 [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 

 [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 

 [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 

 [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4) 

 [[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan](elb-controls.md#elb-5) 

 [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6) 

 [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) 

 [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 

 [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 

 [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 

 [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 

 [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 

 [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 

 [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 

 [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 

 [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 

 [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 

 [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 

 [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 

 [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 

 [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 

 [[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5) 

 [[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data](es-controls.md#es-6) 

 [[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus](es-controls.md#es-7) 

 [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8) 

 [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 

 [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 

 [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 

 [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 

 [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 

 [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 

 [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 

 [[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja](kms-controls.md#kms-3) 

 [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 

 [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 

 [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) 

 [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 

 [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 

 [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) 

 [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 

 [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 

 [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 

 [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 

 [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 

 [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 

 [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 

 [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 

 [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 

 [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 

 [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 

 [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 

 [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 

 [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 

 [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 

 [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 

 [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 

 [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 

 [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 

 [[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat](rds-controls.md#rds-4) 

 [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5) 

 [[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB](rds-controls.md#rds-6) 

 [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) 

 [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8) 

 [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS](rds-controls.md#rds-10) 

 [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11) 

 [[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS](rds-controls.md#rds-12) 

 [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13) 

 [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 

 [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 

 [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 

 [[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot](rds-controls.md#rds-17) 

 [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19) 

 [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20) 

 [[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21) 

 [[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22) 

 [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23) 

 [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 

 [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 

 [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 

 [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 

 [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 

 [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 

 [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 

 [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 

 [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 

 [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 

 [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 

 [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 

 [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 

 [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 

 [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 

 [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 

 [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 

 [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 

 [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 

 [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 

 [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 

 [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6) 

 [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 

 [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9) 

 [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 

 [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 

 [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 

 [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 

 [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 

 [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 

 [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 

 [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 

 [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 

 [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 

 [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 

 [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 

 [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 

 [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 

 [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 

 [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 

 [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 

 [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 

 [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 

 [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

# AWS Standar Penandaan Sumber Daya di Security Hub CSPM
<a name="standards-tagging"></a>

Standar Penandaan AWS Sumber Daya, yang dikembangkan oleh AWS Security Hub CSPM, membantu Anda menentukan apakah AWS sumber daya Anda kehilangan tag. *Tag* adalah pasangan nilai kunci yang bertindak sebagai metadata untuk mengatur sumber daya. AWS Dengan sebagian besar AWS sumber daya, Anda memiliki opsi untuk menambahkan tag ke sumber daya saat Anda membuat sumber daya atau setelah Anda membuat sumber daya. Contoh sumber daya termasuk CloudFront distribusi Amazon, instans Amazon Elastic Compute Cloud (Amazon EC2), dan rahasia di. AWS Secrets Manager Tag dapat membantu Anda mengelola, mengidentifikasi, mengatur, mencari, dan memfilter AWS sumber daya.

Setiap tag memiliki dua bagian:
+ Kunci tag—misalnya,, `CostCenter``Environment`, atau. `Project` Kunci tag peka huruf besar dan kecil.
+ Nilai tag—misalnya, atau. `111122223333` `Production` Seperti kunci tag, nilai tag peka huruf besar dan kecil.

Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Untuk informasi tentang menambahkan tag ke AWS sumber daya, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Untuk setiap kontrol yang berlaku untuk standar Penandaan AWS Sumber Daya di Security Hub CSPM, Anda dapat menggunakan parameter yang didukung secara opsional untuk menentukan kunci tag yang ingin diperiksa oleh kontrol. Jika Anda tidak menentukan kunci tag apa pun, kontrol hanya memeriksa keberadaan setidaknya satu kunci tag, dan gagal jika sumber daya tidak memiliki kunci tag.

Sebelum Anda mengaktifkan standar Penandaan AWS Sumber Daya, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya. AWS Config Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, termasuk daftar jenis sumber daya yang akan direkam, lihat[ AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md).

Setelah Anda mengaktifkan standar Penandaan AWS Sumber Daya, Anda mulai menerima temuan untuk kontrol yang berlaku untuk standar. Perhatikan bahwa CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan yang sama dengan kontrol yang berlaku untuk standar lain yang diaktifkan. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Standar Penandaan AWS Sumber Daya memiliki Nama Sumber Daya Amazon (ARN) berikut`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* di mana kode Wilayah untuk yang berlaku. Wilayah AWS Anda juga dapat menggunakan [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API untuk mengambil ARN dari standar yang saat ini diaktifkan.

**catatan**  
[Standar Penandaan AWS Sumber Daya](#standards-tagging) tidak tersedia di Wilayah Asia Pasifik (Selandia Baru) dan Asia Pasifik (Taipei).

## Kontrol yang berlaku untuk standar
<a name="tagging-standard-controls"></a>

Daftar berikut menentukan kontrol CSPM AWS Security Hub yang berlaku untuk standar AWS Resource Tagging (v1.0.0). Untuk meninjau detail kontrol, pilih kontrol.
+ [[ACM.3] Sertifikat ACM harus ditandai](acm-controls.md#acm-3)
+ [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4)
+ [[Athena.2] Katalog data Athena harus diberi tag](athena-controls.md#athena-2)
+ [[Athena.3] Kelompok kerja Athena harus ditandai](athena-controls.md#athena-3)
+ [[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup brankas harus ditandai](backup-controls.md#backup-3)
+ [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4)
+ [[Backup.5] rencana AWS Backup cadangan harus ditandai](backup-controls.md#backup-5)
+ [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1)
+ [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2)
+ [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3)
+ [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation tumpukan harus ditandai](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail jejak harus ditandai](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2)
+ [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1)
+ [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2)
+ [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3)
+ [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4)
+ [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5)
+ [[DynamoDB.5] Tabel DynamoDB harus diberi tag](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Lampiran gateway transit EC2 harus ditandai](ec2-controls.md#ec2-33)
+ [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34)
+ [[EC2.35] Antarmuka jaringan EC2 harus ditandai](ec2-controls.md#ec2-35)
+ [[EC2.36] Gateway pelanggan EC2 harus ditandai](ec2-controls.md#ec2-36)
+ [[EC2.37] Alamat IP Elastis EC2 harus ditandai](ec2-controls.md#ec2-37)
+ [[EC2.38] Instans EC2 harus ditandai](ec2-controls.md#ec2-38)
+ [[EC2.39] Gerbang internet EC2 harus ditandai](ec2-controls.md#ec2-39)
+ [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40)
+ [[EC2.41] Jaringan EC2 harus ditandai ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Tabel rute EC2 harus ditandai](ec2-controls.md#ec2-42)
+ [[EC2.43] Grup keamanan EC2 harus ditandai](ec2-controls.md#ec2-43)
+ [[EC2.44] Subnet EC2 harus ditandai](ec2-controls.md#ec2-44)
+ [[EC2.45] Volume EC2 harus ditandai](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs harus ditandai](ec2-controls.md#ec2-46)
+ [[EC2.47] Layanan titik akhir Amazon VPC harus ditandai](ec2-controls.md#ec2-47)
+ [[EC2.48] Log aliran VPC Amazon harus ditandai](ec2-controls.md#ec2-48)
+ [[EC2.49] Koneksi peering VPC Amazon harus ditandai](ec2-controls.md#ec2-49)
+ [[EC2.50] Gateway EC2 VPN harus ditandai](ec2-controls.md#ec2-50)
+ [[EC2.52] Gerbang transit EC2 harus ditandai](ec2-controls.md#ec2-52)
+ [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174)
+ [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175)
+ [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176)
+ [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177)
+ [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178)
+ [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179)
+ [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4)
+ [[ECS.13] Layanan ECS harus ditandai](ecs-controls.md#ecs-13)
+ [[ECS.14] Cluster ECS harus ditandai](ecs-controls.md#ecs-14)
+ [[ECS.15] Definisi tugas ECS harus ditandai](ecs-controls.md#ecs-15)
+ [[EFS.5] Titik akses EFS harus ditandai](efs-controls.md#efs-5)
+ [[EKS.6] Kluster EKS harus ditandai](eks-controls.md#eks-6)
+ [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7)
+ [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9)
+ [[EventBridge.2] bus EventBridge acara harus diberi tag](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1)
+ [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Penganalisis Akses IAM harus ditandai](iam-controls.md#iam-23)
+ [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24)
+ [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25)
+ [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1)
+ [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4)
+ [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5)
+ [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6)
+ [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1)
+ [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2)
+ [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Aliran kinesis harus ditandai](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Fungsi Lambda harus ditandai](lambda-controls.md#lambda-6)
+ [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2)
+ [[RDS.28] Cluster RDS DB harus ditandai](rds-controls.md#rds-28)
+ [[RDS.29] Snapshot cluster RDS DB harus ditandai](rds-controls.md#rds-29)
+ [[RDS.30] Instans RDS DB harus ditandai](rds-controls.md#rds-30)
+ [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31)
+ [[RDS.32] Snapshot RDS DB harus ditandai](rds-controls.md#rds-32)
+ [[RDS.33] Grup subnet RDS DB harus ditandai](rds-controls.md#rds-33)
+ [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11)
+ [[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai](redshift-controls.md#redshift-12)
+ [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13)
+ [[Redshift.14] Grup subnet cluster Redshift harus ditandai](redshift-controls.md#redshift-14)
+ [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17)
+ [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1)
+ [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Rahasia Secrets Manager harus ditandai](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1)
+ [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2)
+ [[SNS.3] Topik SNS harus ditandai](sns-controls.md#sns-3)
+ [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2)
+ [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family alur kerja harus ditandai](transfer-controls.md#transfer-1)
+ [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4)
+ [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5)
+ [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6)
+ [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7)

# Tolok Ukur AWS Yayasan CIS di Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Tolok Ukur AWS Yayasan Center for Internet Security (CIS) berfungsi sebagai seperangkat praktik terbaik konfigurasi keamanan untuk. AWS Praktik terbaik yang diterima industri ini memberi Anda prosedur step-by-step implementasi, dan penilaian yang jelas. Mulai dari sistem operasi hingga layanan cloud dan perangkat jaringan, kontrol dalam tolok ukur ini membantu Anda melindungi sistem spesifik yang digunakan organisasi Anda. 

AWS Security Hub CSPM mendukung CIS AWS Foundations Benchmark versi 5.0.0, 3.0.0, 1.4.0, dan 1.2.0. Halaman ini mencantumkan kontrol keamanan yang didukung setiap versi. Ini juga menyediakan perbandingan versi.

## Tolok Ukur AWS Yayasan CIS versi 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM mendukung versi 5.0.0 (v5.0.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v5.0.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v5.0.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 5.0.0
<a name="cis5v0-controls"></a>

[[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)

[[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)

[[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8)

[[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)

[[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)

[[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

## Tolok Ukur AWS Yayasan CIS versi 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM mendukung versi 3.0.0 (v3.0.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v3.0.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v3.0.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 3.0.0
<a name="cis3v0-controls"></a>

[[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)

[[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)

[[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)

[[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

## Tolok Ukur AWS Yayasan CIS versi 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM mendukung versi 1.4.0 (v1.4.0) dari CIS Foundations Benchmark. AWS 

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 1.4.0
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 

 [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 

 [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 

 [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 

 [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

 [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 

 [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 

## Tolok Ukur AWS Yayasan CIS versi 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM mendukung versi 1.2.0 (v1.2.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v1.2.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v1.2.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 1.2.0
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 

 [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 

 [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 

 [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 

 [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 

 [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 

 [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 

 [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

## Perbandingan versi untuk CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

Bagian ini merangkum perbedaan antara versi spesifik dari Center for Internet Security (CIS) AWS Foundation Benchmark — v5.0.0, v3.0.0, v1.4.0, dan v1.2.0. AWS Security Hub CSPM mendukung masing-masing versi CIS AWS Foundations Benchmark ini. Namun, sebaiknya gunakan v5.0.0 agar tetap mengikuti praktik terbaik keamanan. Anda dapat mengaktifkan beberapa versi standar CIS AWS Foundations Benchmark secara bersamaan. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Jika Anda ingin memutakhirkan ke v5.0.0, aktifkan sebelum Anda menonaktifkan versi yang lebih lama. Ini mencegah celah dalam pemeriksaan keamanan Anda. [Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations dan ingin mengaktifkan v5.0.0 secara batch di beberapa akun, sebaiknya gunakan konfigurasi pusat.](central-configuration-intro.md)

### Pemetaan kontrol ke persyaratan CIS di setiap versi
<a name="cis-version-comparison"></a>

Memahami kontrol mana yang mendukung setiap versi CIS AWS Foundations Benchmark.


| Kontrol ID dan judul | Persyaratan CIS v5.0.0 | Persyaratan CIS v3.0.0 | Persyaratan CIS v1.4.0 | Persyaratan CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  3.1  | 
|  [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  3.2  | 
|  [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4,5  |  3.5  | 
|  [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Tidak didukung  | 
|  [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Tidak didukung  |  Tidak didukung  | 
|  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  |  Tidak didukung - digantikan oleh persyaratan 5.3 dan 5.4  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  4.1  | 
|  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  |  Tidak didukung - digantikan oleh persyaratan 5.3 dan 5.4  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  4.2  | 
|  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Tidak didukung  | 
|  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Tidak didukung  |  Tidak didukung  | 
|  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Tidak didukung  |  Tidak didukung  | 
|  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Tidak didukung  |  Tidak didukung  | 
|  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8)  |  2.3.1  |  Tidak didukung  |  Tidak didukung  |  Tidak didukung  | 
|  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)  |  Tidak didukung   |  Tidak didukung   |  1.16  |  1.22  | 
|  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Tidak didukung  |  1.16  | 
|  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  1.3  | 
|  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.5  | 
|  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.6  | 
|  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.7  | 
|  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.8  | 
|  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.11  | 
|  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] Hindari penggunaan pengguna root](iam-controls.md#iam-20)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.1  | 
|  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)  |  1.18  |  1.19  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1.22  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)  |  1.19  |  1.20  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  | 
|  [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5)  |  2.2.4  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15)  |  2.2.4  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 

### ARNs untuk Tolok Ukur AWS Yayasan CIS
<a name="cisv1.4.0-finding-fields"></a>

Saat Anda mengaktifkan satu atau lebih versi Tolok Ukur AWS Yayasan CIS, Anda mulai menerima temuan di AWS Security Finding Format (ASFF). Di ASFF, setiap versi menggunakan Amazon Resource Name (ARN) berikut:

**Tolok Ukur AWS Yayasan CIS v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Tolok Ukur AWS Yayasan CIS v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Tolok Ukur AWS Yayasan CIS v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Tolok Ukur AWS Yayasan CIS v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API untuk menemukan ARN standar yang diaktifkan.

Nilai-nilai sebelumnya adalah untuk. `StandardsArn` Namun, `StandardsSubscriptionArn` mengacu pada sumber daya langganan standar yang dibuat CSPM Security Hub saat Anda berlangganan standar dengan menelepon [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)di Wilayah.

**catatan**  
Saat Anda mengaktifkan versi Tolok Ukur AWS Yayasan CIS, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan yang sama dengan kontrol yang diaktifkan dalam standar lain yang diaktifkan. Untuk informasi lebih lanjut tentang jadwal untuk menghasilkan temuan kontrol, lihat[Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Menemukan bidang berbeda jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi tentang perbedaan-perbedaan ini, lihat[Dampak konsolidasi pada bidang dan nilai ASFF](asff-changes-consolidation.md). Untuk temuan kontrol sampel, lihat[Sampel temuan kontrol](sample-control-findings.md).

### Persyaratan CIS yang tidak didukung di Security Hub CSPM
<a name="securityhub-standards-cis-checks-not-supported"></a>

Seperti disebutkan dalam tabel sebelumnya, Security Hub CSPM tidak mendukung setiap persyaratan CIS di setiap versi CIS Foundations Benchmark. AWS Banyak persyaratan yang tidak didukung hanya dapat dievaluasi dengan meninjau status sumber daya Anda secara manual. AWS 

# NIST SP 800-53 Revisi 5 di Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) adalah kerangka kerja keamanan siber dan kepatuhan yang dikembangkan oleh National Institute of Standards and Technology (NIST), sebuah lembaga yang merupakan bagian dari Departemen Perdagangan AS. Kerangka kepatuhan ini menyediakan katalog persyaratan keamanan dan privasi untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi dan sumber daya penting. Instansi dan kontraktor pemerintah federal AS harus mematuhi persyaratan ini untuk melindungi sistem dan organisasi mereka. Organisasi swasta juga dapat secara sukarela menggunakan persyaratan sebagai kerangka panduan untuk mengurangi risiko keamanan siber. Untuk informasi lebih lanjut tentang kerangka kerja dan persyaratannya, lihat [NIST SP 800-53 Rev. 5 di NIST](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) Computer Security *Resource* Center.

AWS Security Hub CSPM menyediakan kontrol keamanan yang mendukung subset persyaratan NIST SP 800-53 Revisi 5. Kontrol melakukan pemeriksaan keamanan otomatis untuk sumber daya tertentu Layanan AWS dan. Untuk mengaktifkan dan mengelola kontrol ini, Anda dapat mengaktifkan kerangka kerja NIST SP 800-53 Revisi 5 sebagai standar di Security Hub CSPM. Perhatikan bahwa kontrol tidak mendukung persyaratan NIST SP 800-53 Revisi 5 yang memerlukan pemeriksaan manual.

Tidak seperti kerangka kerja lainnya, kerangka kerja NIST SP 800-53 Revisi 5 tidak preskriptif tentang bagaimana persyaratannya harus dievaluasi. Sebaliknya, kerangka kerja memberikan pedoman. Dalam Security Hub CSPM, standar dan kontrol NIST SP 800-53 Revisi 5 mewakili pemahaman layanan tentang pedoman ini.

**Topics**
+ [Mengkonfigurasi perekaman sumber daya untuk standar](#standards-reference-nist-800-53-recording)
+ [Menentukan kontrol mana yang berlaku untuk standar](#standards-reference-nist-800-53-controls)

## Mengkonfigurasi perekaman sumber daya untuk kontrol yang berlaku untuk standar
<a name="standards-reference-nist-800-53-recording"></a>

Untuk mengoptimalkan cakupan dan keakuratan temuan, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar NIST SP 800-53 Revisi 5 di CSPM Security Hub AWS . Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Ini terutama untuk kontrol yang memiliki jenis jadwal yang *dipicu perubahan*. Namun, beberapa kontrol dengan jenis jadwal *berkala* juga memerlukan perekaman sumber daya. Jika perekaman sumber daya tidak diaktifkan atau dikonfigurasi dengan benar, CSPM Security Hub mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku pada standar.

Untuk informasi tentang cara Security Hub CSPM menggunakan rekaman sumber daya AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi tentang mengonfigurasi perekaman sumber daya AWS Config, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Tabel berikut menentukan jenis sumber daya untuk merekam kontrol yang berlaku untuk standar NIST SP 800-53 Revisi 5 di Security Hub CSPM.


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Layanan Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Menentukan kontrol mana yang berlaku untuk standar
<a name="standards-reference-nist-800-53-controls"></a>

Daftar berikut menentukan kontrol yang mendukung persyaratan NIST SP 800-53 Revisi 5 dan berlaku untuk standar NIST SP 800-53 Revisi 5 di Security Hub CSPM. AWS Untuk detail tentang persyaratan spesifik yang didukung kontrol, pilih kontrol. Kemudian lihat bidang **Persyaratan terkait** di detail untuk kontrol. Bidang ini menentukan setiap persyaratan NIST yang didukung kontrol. Jika bidang tidak menentukan persyaratan NIST tertentu, kontrol tidak mendukung persyaratan.
+ [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)
+ [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 
+  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 
+  [[EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat](ec2-controls.md#ec2-3) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 
+  [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) 
+  [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16) 
+  [[EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18) 
+  [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19) 
+  [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) 
+  [[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4) 
+  [[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan](elb-controls.md#elb-5) 
+  [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6) 
+  [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 
+  [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5) 
+  [[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data](es-controls.md#es-6) 
+  [[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus](es-controls.md#es-7) 
+  [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja](kms-controls.md#kms-3) 
+  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 
+  [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 
+  [[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat](rds-controls.md#rds-4) 
+  [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5) 
+  [[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB](rds-controls.md#rds-6) 
+  [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) 
+  [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8) 
+  [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS](rds-controls.md#rds-10) 
+  [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11) 
+  [[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 
+  [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 
+  [[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot](rds-controls.md#rds-17) 
+  [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19) 
+  [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20) 
+  [[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21) 
+  [[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22) 
+  [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 
+  [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 
+  [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 
+  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 
+  [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 
+  [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14) 
+  [[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15) 
+  [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisi 2 di Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) adalah kerangka kerja keamanan siber dan kepatuhan yang dikembangkan oleh National Institute of Standards and Technology (NIST), sebuah lembaga yang merupakan bagian dari Departemen Perdagangan AS. Kerangka kepatuhan ini memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan Informasi Tidak Diklasifikasikan Terkendali dalam sistem dan organisasi yang bukan bagian dari pemerintah federal AS. *Controlled Unclassified Information*, juga disebut *CUI*, adalah informasi sensitif yang tidak memenuhi kriteria pemerintah untuk klasifikasi tetapi harus dilindungi. Ini adalah informasi yang dianggap sensitif dan dibuat atau dimiliki oleh pemerintah federal AS atau entitas lain atas nama pemerintah federal AS.

NIST SP 800-171 Rev. 2 memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan CUI ketika:
+ Informasi berada dalam sistem dan organisasi non-federal,
+ Organisasi non-federal tidak mengumpulkan atau memelihara informasi atas nama agen federal atau menggunakan atau mengoperasikan sistem atas nama agen, dan 
+ Tidak ada persyaratan pengamanan khusus untuk melindungi kerahasiaan CUI yang ditentukan oleh undang-undang otorisasi, peraturan, atau kebijakan pemerintah untuk kategori CUI yang tercantum dalam Registri CUI. 

Persyaratan berlaku untuk semua komponen sistem dan organisasi non-federal yang memproses, menyimpan, atau mengirimkan CUI, atau memberikan perlindungan keamanan untuk komponen. Untuk informasi lebih lanjut, lihat [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) di Pusat Sumber Daya Keamanan Komputer *NIST*.

AWS Security Hub CSPM menyediakan kontrol keamanan yang mendukung subset persyaratan NIST SP 800-171 Revisi 2. Kontrol melakukan pemeriksaan keamanan otomatis untuk sumber daya tertentu Layanan AWS dan. Untuk mengaktifkan dan mengelola kontrol ini, Anda dapat mengaktifkan kerangka kerja NIST SP 800-171 Revisi 2 sebagai standar di Security Hub CSPM. Perhatikan bahwa kontrol tidak mendukung persyaratan NIST SP 800-171 Revisi 2 yang memerlukan pemeriksaan manual.

**Topics**
+ [Mengkonfigurasi perekaman sumber daya untuk standar](#standards-reference-nist-800-171-recording)
+ [Menentukan kontrol mana yang berlaku untuk standar](#standards-reference-nist-800-171-controls)

## Mengkonfigurasi perekaman sumber daya untuk kontrol yang berlaku untuk standar
<a name="standards-reference-nist-800-171-recording"></a>

Untuk mengoptimalkan cakupan dan keakuratan temuan, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar NIST SP 800-171 Revisi 2 di CSPM Security Hub. AWS Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar.

Untuk informasi tentang cara Security Hub CSPM menggunakan rekaman sumber daya AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi tentang mengonfigurasi perekaman sumber daya AWS Config, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Tabel berikut menentukan jenis sumber daya untuk merekam kontrol yang berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM.


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Awan Komputasi Elastis Amazon (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Layanan Penyimpanan Sederhana Amazon (Amazon S3) | `AWS::S3::Bucket` | 
| Layanan Pemberitahuan Sederhana Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Menentukan kontrol mana yang berlaku untuk standar
<a name="standards-reference-nist-800-171-controls"></a>

Daftar berikut menentukan kontrol yang mendukung persyaratan NIST SP 800-171 Revisi 2 dan berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM. AWS Untuk detail tentang persyaratan spesifik yang didukung kontrol, pilih kontrol. Kemudian lihat bidang **Persyaratan terkait** di detail untuk kontrol. Bidang ini menentukan setiap persyaratan NIST yang didukung kontrol. Jika bidang tidak menentukan persyaratan NIST tertentu, kontrol tidak mendukung persyaratan.
+ [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)
+ [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16)
+ [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18)
+ [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19)
+ [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20)
+ [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)
+ [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)
+ [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)
+ [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)
+ [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)
+ [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)
+ [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)
+ [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)
+ [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)
+ [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)
+ [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)
+ [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)
+ [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)
+ [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21)
+ [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)
+ [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)
+ [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)
+ [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)
+ [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14)
+ [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)
+ [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12)

# PCI DSS di Security Hub CSPM
<a name="pci-standard"></a>

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah kerangka kepatuhan pihak ketiga yang menyediakan seperangkat aturan dan pedoman untuk menangani informasi kartu kredit dan debit dengan aman. Dewan Standar Keamanan PCI (SSC) membuat dan memperbarui kerangka kerja ini.

AWS Security Hub CSPM menyediakan standar PCI DSS yang dapat membantu Anda tetap mematuhi kerangka kerja pihak ketiga ini. Anda dapat menggunakan standar ini untuk menemukan kerentanan keamanan dalam AWS sumber daya yang menangani data pemegang kartu. Sebaiknya aktifkan standar ini Akun AWS yang memiliki sumber daya yang menyimpan, memproses, atau mengirimkan data pemegang kartu atau data otentikasi sensitif. Penilaian oleh PCI SSC memvalidasi standar ini.

Security Hub CSPM menawarkan dukungan untuk PCI DSS v3.2.1 dan PCI DSS v4.0.1. Sebaiknya gunakan v4.0.1 agar tetap mengikuti praktik terbaik keamanan. Anda dapat mengaktifkan kedua versi standar secara bersamaan. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Jika saat ini Anda menggunakan v3.2.1 tetapi hanya ingin menggunakan v4.0.1, aktifkan versi yang lebih baru sebelum menonaktifkan versi yang lebih lama. Ini mencegah celah dalam pemeriksaan keamanan Anda. Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations dan ingin mengaktifkan v4.0.1 secara batch di beberapa akun, sebaiknya gunakan [konfigurasi pusat](central-configuration-intro.md) untuk melakukannya.

Bagian berikut menentukan kontrol mana yang berlaku untuk PCI DSS v3.2.1 dan PCI DSS v4.0.1.

## Kontrol yang berlaku untuk PCI DSS v3.2.1
<a name="pci-controls"></a>

Daftar berikut menentukan kontrol CSPM Security Hub mana yang berlaku untuk PCI DSS v3.2.1. Untuk meninjau detail kontrol, pilih kontrol.

 [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 

 [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 

 [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 

 [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

 [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 

 [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3) 

 [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 

 [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 

 [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 

 [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 

## Kontrol yang berlaku untuk PCI DSS v4.0.1
<a name="pci4-controls"></a>

Daftar berikut menentukan kontrol CSPM Security Hub mana yang berlaku untuk PCI DSS v4.0.1. Untuk meninjau detail kontrol, pilih kontrol.

[[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)

[[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2)

[[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2)

[[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3)

[[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1)

[[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10)

[[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11)

[[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12)

[[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6)

[[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7)

[[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8)

[[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)

[[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)

[[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15)

[[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16)

[[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25)

[[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1)

[[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10)

[[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16)

[[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2)

[[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8)

[[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4)

[[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1)

[[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)

[[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3)

[[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14)

[[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4)

[[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8)

[[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1)

[[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2)

[[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2)

[[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3)

[[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5)

[[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8)

[[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)

[[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)

[[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)

[[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)

[[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1)

[[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2)

[[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3)

[[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1)

[[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)

[[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3)

[[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1)

[[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3)

[[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3)

[[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10)

[[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20)

[[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21)

[[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22)

[[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24)

[[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25)

[[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35)

[[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1)

[[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15)

[[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2)

[[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4)

[[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15)

[[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

[[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)

[[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)

[[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2)

[[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1)

[[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11)

# Standar yang dikelola layanan di Security Hub CSPM
<a name="service-managed-standards"></a>

Standar yang dikelola layanan adalah standar keamanan yang Layanan AWS dikelola orang lain tetapi dapat Anda lihat di Security Hub CSPM. Misalnya, [Service-Managed Standard: AWS Control Tower](service-managed-standard-aws-control-tower.md) adalah standar yang dikelola layanan yang mengelola. AWS Control Tower Standar yang dikelola layanan berbeda dari standar keamanan yang dikelola CSPM AWS Security Hub dengan cara berikut:
+ **Pembuatan dan penghapusan standar** — Anda membuat dan menghapus standar yang dikelola layanan dengan konsol atau API layanan pengelola, atau dengan. AWS CLI Sampai Anda membuat standar dalam layanan pengelolaan dengan salah satu cara tersebut, standar tidak muncul di konsol CSPM Security Hub dan tidak dapat diakses oleh Security Hub CSPM API atau. AWS CLI
+ **Tidak ada pengaktifan kontrol otomatis** — Saat Anda membuat standar yang dikelola layanan, CSPM Security Hub dan layanan pengelola tidak secara otomatis mengaktifkan kontrol yang berlaku pada standar. Selain itu, ketika Security Hub CSPM merilis kontrol baru untuk standar, kontrol tersebut tidak diaktifkan secara otomatis. Ini adalah penyimpangan dari standar yang dikelola Security Hub CSPM. Untuk informasi selengkapnya tentang cara biasa mengonfigurasi kontrol di Security Hub CSPM, lihat. [Memahami kontrol keamanan di Security Hub CSPM](controls-view-manage.md)
+ **Mengaktifkan dan menonaktifkan kontrol** — Kami menyarankan untuk mengaktifkan dan menonaktifkan kontrol dalam layanan pengelolaan untuk menghindari penyimpangan.
+ **Ketersediaan kontrol** — Layanan pengelola memilih kontrol mana yang tersedia sebagai bagian dari standar yang dikelola layanan. Kontrol yang tersedia dapat mencakup semua, atau sebagian dari, kontrol CSPM Security Hub yang ada.

Setelah mengelola layanan membuat standar yang dikelola layanan dan menyediakan kontrol untuk itu, Anda dapat mengakses temuan kontrol, status kontrol, dan skor keamanan standar di konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI Beberapa atau semua informasi ini mungkin juga tersedia di layanan pengelolaan.

Pilih standar yang dikelola layanan dari daftar berikut untuk melihat detail selengkapnya.

**Topics**
+ [Standar yang Dikelola Layanan: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Standar yang Dikelola Layanan: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Bagian ini memberikan informasi tentang Standar yang Dikelola Layanan:. AWS Control Tower

## Apa itu Standar yang Dikelola Layanan:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower adalah standar yang dikelola layanan yang AWS Control Tower mengelola yang mendukung subset kontrol Security Hub. Standar ini dirancang untuk pengguna AWS Security Hub CSPM dan. AWS Control Tower Ini memungkinkan Anda mengonfigurasi kontrol detektif Security Hub CSPM dari layanan. AWS Control Tower 

Kontrol Detektif mendeteksi ketidakpatuhan sumber daya (misalnya, kesalahan konfigurasi) di dalam Anda. Akun AWS

**Tip**  
Standar yang dikelola layanan berbeda dari standar yang dikelola AWS Security Hub CSPM. Misalnya, Anda harus membuat dan menghapus standar yang dikelola layanan di layanan pengelolaan. Untuk informasi selengkapnya, lihat [Standar yang dikelola layanan di Security Hub CSPM](service-managed-standards.md).

Saat Anda mengaktifkan kontrol CSPM Security Hub AWS Control Tower, Control Tower juga mengaktifkan CSPM Security Hub untuk Anda di akun dan Wilayah tertentu tersebut, jika belum diaktifkan. Di konsol CSPM Security Hub dan API, Anda dapat melihat Standar yang Dikelola Layanan: AWS Control Tower bersama standar CSPM Security Hub lainnya, setelah standar diaktifkan. AWS Control Tower

Untuk informasi selengkapnya tentang standar ini, lihat [Kontrol CSPM Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) di *AWS Control Tower Panduan Pengguna*.

## Menciptakan standar
<a name="aws-control-tower-standard-creation"></a>

Standar ini tersedia di Security Hub CSPM hanya jika Anda mengaktifkan kontrol CSPM Security Hub. AWS Control Tower AWS Control Tower membuat standar saat Anda pertama kali mengaktifkan kontrol yang berlaku dengan menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)perintah)

Saat Anda mengaktifkan kontrol CSPM Security Hub AWS Control Tower, jika Anda belum mengaktifkan Security Hub CSPM, juga mengaktifkan CSPM AWS Control Tower Security Hub untuk Anda di akun dan Wilayah tertentu tersebut.

Untuk mengidentifikasi kontrol CSPM Security Hub dengan ID kontrol di Katalog Kontrol, Anda dapat menggunakan bidang `Implementation.Identifier` di. AWS Control Tower Bidang ini memetakan ke ID kontrol CSPM Security Hub dan dapat digunakan untuk memfilter ID kontrol tertentu. Untuk mengambil metadata kontrol untuk kontrol CSPM Security Hub tertentu (misalnya, "CodeBuild.1") di AWS Control Tower, Anda dapat menggunakan API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Anda tidak dapat melihat atau mengakses standar ini di konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI tanpa terlebih dahulu menyiapkan dan AWS Control Tower mengaktifkan kontrol CSPM Security Hub AWS Control Tower dari menggunakan salah satu metode sebelumnya.

Standar ini hanya tersedia di [Wilayah AWS tempat AWS Control Tower yang tersedia](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).

## Mengaktifkan dan menonaktifkan kontrol dalam standar
<a name="aws-control-tower-standard-managing-controls"></a>

Setelah mengaktifkan kontrol CSPM Security Hub AWS Control Tower dan Standar yang Dikelola Layanan: AWS Control Tower standar telah dibuat, Anda dapat melihat standar dan kontrol yang tersedia di CSPM Security Hub.

Ketika Security Hub CSPM menambahkan kontrol baru ke standar Service-Managed AWS Control Tower Standard:, kontrol tersebut tidak diaktifkan secara otomatis untuk pelanggan yang memiliki standar yang diaktifkan. Anda harus mengaktifkan dan menonaktifkan kontrol untuk standar dari AWS Control Tower dengan menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)dan [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)dan [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)perintah)

Saat Anda mengubah status pengaktifan kontrol AWS Control Tower, perubahan tersebut juga tercermin dalam Security Hub CSPM.

Namun, menonaktifkan kontrol di Security Hub CSPM yang diaktifkan AWS Control Tower menghasilkan penyimpangan kontrol. Status kontrol di AWS Control Tower menunjukkan sebagai`Drifted`. Anda dapat mengatasi penyimpangan ini dengan menggunakan [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API untuk mengatur ulang kontrol yang ada di drift, atau dengan memilih [Registrasi ulang OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) di AWS Control Tower konsol, atau dengan menonaktifkan dan mengaktifkan kembali kontrol dalam AWS Control Tower menggunakan salah satu metode sebelumnya.

Menyelesaikan tindakan pemberdayaan dan penonaktifan AWS Control Tower membantu Anda menghindari penyimpangan kontrol.

Saat Anda mengaktifkan atau menonaktifkan kontrol AWS Control Tower, tindakan akan berlaku di seluruh akun dan Wilayah yang diatur oleh AWS Control Tower. Jika Anda mengaktifkan dan menonaktifkan kontrol di Security Hub CSPM (tidak disarankan untuk standar ini), tindakan hanya berlaku untuk akun dan wilayah saat ini.

**catatan**  
[Konfigurasi pusat](central-configuration-intro.md) tidak dapat digunakan untuk mengelola Standar yang Dikelola Layanan:. AWS Control Tower Anda *hanya* dapat menggunakan AWS Control Tower layanan untuk mengaktifkan dan menonaktifkan kontrol dalam standar ini.

## Melihat status pemberdayaan dan status kontrol
<a name="aws-control-tower-standard-control-status"></a>

Anda dapat melihat status pemberdayaan kontrol dengan menggunakan salah satu metode berikut:
+ Konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI
+ AWS Control Tower konsol
+ AWS Control Tower API untuk melihat daftar kontrol yang diaktifkan (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI untuk melihat daftar kontrol yang diaktifkan (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)perintah)

Kontrol yang Anda nonaktifkan AWS Control Tower memiliki status pengaktifan `Disabled` di Security Hub CSPM kecuali Anda secara eksplisit mengaktifkan kontrol tersebut di Security Hub CSPM.

Security Hub CSPM menghitung status kontrol berdasarkan status alur kerja dan status kepatuhan temuan kontrol. Untuk informasi selengkapnya tentang status pemberdayaan dan status kontrol, lihat[Meninjau rincian kontrol di Security Hub CSPM](securityhub-standards-control-details.md).

Berdasarkan status kontrol, Security Hub CSPM menghitung [skor keamanan](standards-security-score.md) untuk Service-Managed Standard:. AWS Control Tower Skor ini hanya tersedia di Security Hub CSPM. Selain itu, Anda hanya dapat melihat [temuan kontrol](controls-findings-create-update.md) di Security Hub CSPM. Skor keamanan standar dan temuan kontrol tidak tersedia di AWS Control Tower.

**catatan**  
Saat Anda mengaktifkan kontrol untuk Standar yang Dikelola Layanan: AWS Control Tower, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan terkait layanan yang ada. AWS Config Anda mungkin memiliki aturan terkait layanan yang ada jika Anda telah mengaktifkan standar dan kontrol lain di CSPM Security Hub. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

## Menghapus standar
<a name="aws-control-tower-standard-deletion"></a>

Anda dapat menghapus standar terkelola layanan ini AWS Control Tower dengan menonaktifkan semua kontrol yang berlaku menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)perintah)

Menonaktifkan semua kontrol akan menghapus standar di semua akun terkelola dan Wilayah yang diatur di. AWS Control Tower Menghapus standar di AWS Control Tower menghapusnya dari halaman **Standar** konsol CSPM Security Hub, dan Anda tidak dapat lagi mengaksesnya dengan menggunakan Security Hub CSPM API atau. AWS CLI

**catatan**  
 Menonaktifkan semua kontrol dari standar di Security Hub CSPM tidak menonaktifkan atau menghapus standar. 

Menonaktifkan layanan CSPM Security Hub akan menghapus Standar yang Dikelola Layanan: AWS Control Tower dan standar lain yang telah Anda aktifkan.

## Menemukan format bidang untuk Standar yang Dikelola Layanan: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Ketika Anda membuat Service-Managed Standard: AWS Control Tower dan mengaktifkan kontrol untuk itu, Anda akan mulai menerima temuan kontrol di Security Hub CSPM. Security Hub CSPM melaporkan temuan kontrol di. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) Ini adalah nilai ASFF untuk Amazon Resource Name (ARN) standar ini dan: `GeneratorId`
+ **ARN standar** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Untuk contoh temuan Standar yang Dikelola Layanan: AWS Control Tower, lihat. [Sampel temuan kontrol](sample-control-findings.md)

## Kontrol yang berlaku untuk Standar yang Dikelola Layanan: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower mendukung subset kontrol yang merupakan bagian dari standar AWS Foundational Security Best Practices (FSBP). Pilih kontrol untuk melihat informasi tentangnya, termasuk langkah-langkah remediasi untuk temuan yang gagal.

Untuk melihat kontrol CSPM Security Hub yang didukung AWS Control Tower, Anda dapat menggunakan salah satu metode berikut:
+ AWS Konsol Control Catalog tempat Anda dapat memfilter `“Control owner = AWS Security Hub”`
+ AWS Control Catalog API (panggil [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) dengan filter `Implementations` untuk `Types` memeriksanya `AWS::SecurityHub::SecurityControl`
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)perintah) dengan filter untuk`Implementations`. Contoh perintah CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Batas regional pada kontrol CSPM Security Hub saat diaktifkan melalui standar Control Tower mungkin tidak sesuai dengan batas Regional pada kontrol yang mendasarinya.

Di Security Hub CSPM, jika [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings) dimatikan di akun Anda, `ProductFields.ControlId` bidang dalam temuan yang dihasilkan menggunakan ID kontrol berbasis standar. **ID kontrol berbasis standar diformat sebagai CT. *ControlId***(misalnya, **CT. CodeBuild.1**).

Untuk informasi selengkapnya tentang standar ini, lihat [Kontrol CSPM Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) di *AWS Control Tower Panduan Pengguna*.

# Mengaktifkan standar keamanan
<a name="enable-standards"></a>

Ketika Anda mengaktifkan standar keamanan di AWS Security Hub CSPM, Security Hub CSPM secara otomatis membuat dan mengaktifkan semua kontrol yang berlaku untuk standar. Security Hub CSPM juga mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk kontrol.

Untuk mengoptimalkan cakupan dan keakuratan temuan, aktifkan dan konfigurasikan perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar. Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md).

Setelah Anda mengaktifkan standar, Anda dapat menonaktifkan atau kemudian mengaktifkan kembali kontrol individual yang berlaku untuk standar. Jika Anda menonaktifkan kontrol untuk standar, Security Hub CSPM berhenti menghasilkan temuan untuk kontrol. Selain itu, Security Hub CSPM mengabaikan kontrol saat menghitung skor keamanan untuk standar. Skor keamanan adalah persentase kontrol yang lulus evaluasi, relatif terhadap jumlah total kontrol yang berlaku untuk standar, diaktifkan, dan memiliki data evaluasi.

Saat Anda mengaktifkan standar, Security Hub CSPM menghasilkan skor keamanan awal untuk standar tersebut, biasanya dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau **Standar Keamanan** di konsol CSPM Security Hub. Skor keamanan dibuat hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut di konsol. Selain itu, perekaman sumber daya harus AWS Config dikonfigurasi agar skor muncul. Di Wilayah Tiongkok AWS GovCloud (US) Regions dan, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan skor keamanan awal untuk standar. Setelah Security Hub CSPM menghasilkan skor awal, itu memperbarui skor setiap 24 jam. Untuk menentukan kapan skor keamanan terakhir diperbarui, Anda dapat merujuk ke stempel waktu yang disediakan Security Hub CSPM untuk skor tersebut. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Cara Anda mengaktifkan standar tergantung pada apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengelola Security Hub CSPM untuk beberapa akun dan. Wilayah AWS Sebaiknya gunakan konfigurasi pusat jika Anda ingin mengaktifkan standar di lingkungan multi-akun, Multi-wilayah. Anda dapat menggunakan konfigurasi pusat jika Anda mengintegrasikan Security Hub CSPM dengan. AWS Organizations Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengaktifkan setiap standar secara terpisah di setiap akun dan setiap Wilayah.

**Topics**
+ [Mengaktifkan standar di beberapa akun dan Wilayah AWS](#enable-standards-central-configuration)
+ [Mengaktifkan standar dalam satu akun dan Wilayah AWS](#securityhub-standard-enable-console)
+ [Memeriksa status standar](#standard-subscription-status)

## Mengaktifkan standar di beberapa akun dan Wilayah AWS
<a name="enable-standards-central-configuration"></a>

Untuk mengaktifkan dan mengonfigurasi standar keamanan di beberapa akun dan Wilayah AWS, gunakan [konfigurasi pusat](central-configuration-intro.md). Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang mengaktifkan satu atau beberapa standar. Administrator kemudian dapat mengaitkan kebijakan konfigurasi dengan akun individu, unit organisasi (OUs), atau root. Kebijakan konfigurasi memengaruhi Wilayah asal, juga disebut sebagai Wilayah *agregasi, dan semua Wilayah* yang ditautkan.

Kebijakan konfigurasi menawarkan opsi penyesuaian. Misalnya, Anda dapat memilih untuk hanya mengaktifkan standar AWS Foundational Security Best Practices (FSBP) untuk satu OU. Untuk OU lain, Anda dapat memilih untuk mengaktifkan standar FSBP dan standar Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Untuk informasi tentang membuat kebijakan konfigurasi yang memungkinkan standar tertentu yang Anda tentukan, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM tidak secara otomatis mengaktifkan standar apa pun di akun baru atau yang sudah ada. Sebagai gantinya, administrator CSPM Security Hub menentukan standar mana yang akan diaktifkan di akun yang berbeda saat mereka membuat kebijakan konfigurasi CSPM Security Hub untuk organisasi mereka. Security Hub CSPM menawarkan kebijakan konfigurasi yang direkomendasikan di mana hanya standar FSBP yang diaktifkan. Untuk informasi selengkapnya, lihat [Jenis kebijakan konfigurasi](configuration-policies-overview.md#policy-types).

**catatan**  
Administrator CSPM Security Hub dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar apa pun kecuali standar yang dikelola [AWS Control Tower layanan](service-managed-standard-aws-control-tower.md). Untuk mengaktifkan standar ini, administrator harus menggunakan AWS Control Tower secara langsung. Mereka juga harus menggunakan AWS Control Tower untuk mengaktifkan atau menonaktifkan kontrol individu dalam standar ini untuk akun yang dikelola secara terpusat.

*Jika Anda ingin beberapa akun mengaktifkan dan mengonfigurasi standar untuk akun mereka sendiri, administrator CSPM Security Hub dapat menetapkan akun tersebut sebagai akun yang dikelola sendiri.* Akun yang dikelola sendiri harus mengaktifkan dan mengonfigurasi standar secara terpisah di setiap Wilayah.

## Mengaktifkan standar dalam satu akun dan Wilayah AWS
<a name="securityhub-standard-enable-console"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar keamanan secara terpusat di beberapa akun atau. Wilayah AWS Namun, Anda dapat mengaktifkan standar dalam satu akun dan Wilayah. Anda dapat melakukannya dengan menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah ini untuk mengaktifkan standar dalam satu akun dan Wilayah dengan menggunakan konsol CSPM Security Hub.

**Untuk mengaktifkan standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin mengaktifkan standar.

1. Di panel navigasi, pilih **Standar keamanan**. Halaman **standar Keamanan** mencantumkan semua standar yang didukung Security Hub CSPM saat ini. Jika Anda sudah mengaktifkan standar, bagian untuk standar mencakup skor keamanan saat ini dan detail tambahan untuk standar.

1. Di bagian untuk standar yang ingin Anda aktifkan, pilih **Aktifkan standar**.

Untuk mengaktifkan standar di Wilayah tambahan, ulangi langkah-langkah sebelumnya di setiap Wilayah tambahan.

------
#### [ Security Hub CSPM API ]

Untuk mengaktifkan standar secara terprogram dalam satu akun dan Wilayah, gunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)perintah.

Dalam permintaan Anda, gunakan `StandardsArn` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda aktifkan. Tentukan juga Wilayah tempat permintaan Anda berlaku. Misalnya, perintah berikut memungkinkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Di *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** mana ARN dari standar FSBP di Wilayah AS Timur (Virginia N.), dan *us-east-1* merupakan Wilayah untuk mengaktifkannya.

Untuk mendapatkan ARN untuk standar, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau, jika Anda menggunakan AWS CLI, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)

Untuk terlebih dahulu meninjau daftar standar yang saat ini diaktifkan di akun Anda, Anda dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operasi. Jika Anda menggunakan AWS CLI, Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk mengambil daftar ini.

------

Setelah Anda mengaktifkan standar, Security Hub CSPM mulai melakukan tugas untuk mengaktifkan standar di akun dan Wilayah yang ditentukan. Ini termasuk membuat semua kontrol yang berlaku untuk standar. Untuk memantau status tugas-tugas ini, Anda dapat memeriksa status standar untuk akun dan Wilayah.

## Memeriksa status standar
<a name="standard-subscription-status"></a>

Saat Anda mengaktifkan standar keamanan untuk akun, Security Hub CSPM mulai membuat semua kontrol yang berlaku untuk standar di akun. Security Hub CSPM juga melakukan tugas-tugas tambahan untuk mengaktifkan standar untuk akun, seperti menghasilkan skor keamanan awal untuk standar. Sementara Security Hub CSPM melakukan tugas-tugas ini, status standar adalah *Pending*untuk akun. Status standar kemudian melewati status tambahan, yang dapat Anda pantau dan periksa.

**catatan**  
Perubahan pada kontrol individual untuk standar tidak memengaruhi status keseluruhan standar. Misalnya, jika Anda mengaktifkan kontrol yang sebelumnya dinonaktifkan, perubahan Anda tidak akan memengaruhi status standar. Demikian pula, jika Anda mengubah nilai parameter untuk kontrol yang diaktifkan, perubahan Anda tidak akan memengaruhi status standar.

Untuk memeriksa status standar menggunakan konsol CSPM Security Hub, pilih **Standar keamanan** di panel navigasi. Halaman **standar Keamanan** mencantumkan semua standar yang didukung Security Hub CSPM saat ini. Jika Security Hub CSPM saat ini melakukan tugas untuk mengaktifkan standar, bagian untuk standar menunjukkan bahwa Security Hub CSPM masih menghasilkan skor keamanan untuk standar. Jika standar diaktifkan, bagian untuk standar mencakup skor saat ini. Pilih **Lihat hasil** untuk meninjau detail tambahan, termasuk status kontrol individual yang berlaku untuk standar. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Untuk memeriksa status standar secara terprogram dengan Security Hub CSPM API, gunakan operasi. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Dalam permintaan Anda, secara opsional gunakan `StandardsSubscriptionArns` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang statusnya ingin Anda periksa. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk memeriksa status standar. Untuk menentukan ARN standar yang akan diperiksa, gunakan parameter. `standards-subscription-arns` Untuk menentukan ARN mana yang akan ditentukan, Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau, untuk AWS CLI, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)

Jika permintaan Anda berhasil, Security Hub CSPM merespons dengan array objek. `StandardsSubscription` *Langganan standar* adalah AWS sumber daya yang dibuat CSPM Security Hub di akun saat standar diaktifkan untuk akun tersebut. Setiap `StandardsSubscription` objek memberikan rincian tentang standar yang saat ini diaktifkan atau sedang diaktifkan atau dinonaktifkan untuk akun. Dalam setiap objek, `StandardsStatus` bidang menentukan status standar saat ini untuk akun.

Status standar (`StandardsStatus`) dapat menjadi salah satu dari berikut ini.

**PENDING**  
Security Hub CSPM saat ini sedang melakukan tugas untuk mengaktifkan standar untuk akun. Ini termasuk membuat kontrol yang berlaku untuk standar, dan menghasilkan skor keamanan awal untuk standar. Diperlukan beberapa menit untuk Security Hub CSPM untuk menyelesaikan semua tugas. Standar juga dapat memiliki status ini jika sudah diaktifkan untuk akun dan Security Hub CSPM saat ini menambahkan kontrol baru ke standar.  
Jika standar memiliki status ini, Anda mungkin tidak dapat mengambil rincian kontrol individual yang berlaku untuk standar. Selain itu, Anda mungkin tidak dapat mengonfigurasi atau menonaktifkan kontrol individual untuk standar. Misalnya, jika Anda mencoba menonaktifkan kontrol dengan menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operasi, kesalahan terjadi.  
Untuk menentukan apakah Anda dapat mengonfigurasi atau mengelola kontrol individual untuk standar, lihat nilai untuk `StandardsControlsUpdatable` bidang tersebut. Jika nilai untuk bidang ini`READY_FOR_UPDATES`, Anda dapat mulai mengelola kontrol individual untuk standar. Jika tidak, tunggu hingga Security Hub CSPM menyelesaikan tugas pemrosesan tambahan untuk mengaktifkan standar.

**READY**  
Standar saat ini diaktifkan untuk akun. Security Hub CSPM dapat menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Security Hub CSPM juga dapat menghitung skor keamanan untuk standar.  
Jika standar memiliki status ini, Anda dapat mengambil rincian kontrol individual yang berlaku untuk standar. Selain itu, Anda dapat mengonfigurasi, menonaktifkan, atau mengaktifkan kembali kontrol. Anda juga dapat menonaktifkan standar.

**INCOMPLETE**  
Security Hub CSPM tidak dapat mengaktifkan standar sepenuhnya untuk akun. Security Hub CSPM tidak dapat menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Selain itu, Security Hub CSPM tidak dapat menghitung skor keamanan untuk standar.  
Untuk menentukan mengapa standar tidak diaktifkan sepenuhnya, lihat informasi dalam `StandardsStatusReason` array. Array ini menentukan masalah yang mencegah CSPM Security Hub mengaktifkan standar. Jika terjadi kesalahan internal, coba aktifkan standar untuk akun lagi. Untuk jenis masalah lainnya, [periksa AWS Config pengaturan Anda](securityhub-setup-prereqs.md). Anda juga dapat [menonaktifkan kontrol individual](disable-controls-overview.md) yang tidak ingin Anda periksa, atau menonaktifkan standar sepenuhnya.

**DELETING**  
Security Hub CSPM saat ini sedang memproses permintaan untuk menonaktifkan standar untuk akun. Ini termasuk menonaktifkan kontrol yang berlaku untuk standar, dan menghapus skor keamanan terkait. Diperlukan beberapa menit untuk Security Hub CSPM untuk menyelesaikan pemrosesan permintaan.  
Jika standar memiliki status ini, Anda tidak dapat mengaktifkan kembali standar atau mencoba menonaktifkannya lagi untuk akun tersebut. Security Hub CSPM harus menyelesaikan pemrosesan permintaan saat ini terlebih dahulu. Selain itu, Anda tidak dapat mengambil detail kontrol individual yang berlaku untuk standar atau mengelola kontrol.

**FAILED**  
Security Hub CSPM tidak dapat menonaktifkan standar untuk akun tersebut. Satu atau beberapa kesalahan terjadi ketika Security Hub CSPM mencoba untuk menonaktifkan standar. Selain itu, Security Hub CSPM tidak dapat menghitung skor keamanan untuk standar.  
Untuk menentukan mengapa standar tidak dinonaktifkan sepenuhnya, lihat informasi dalam `StandardsStatusReason` array. Array ini menentukan masalah yang mencegah CSPM Security Hub menonaktifkan standar.  
Jika standar memiliki status ini, Anda tidak dapat mengambil detail kontrol individual yang berlaku untuk standar atau mengelola kontrol. Namun, Anda dapat mengaktifkan kembali standar untuk akun tersebut. Jika Anda mengatasi masalah yang mencegah CSPM Security Hub menonaktifkan standar, Anda juga dapat mencoba menonaktifkan standar lagi.

Jika status standar adalah`READY`, Security Hub CSPM menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Untuk status lain, Security Hub CSPM mungkin menjalankan pemeriksaan dan menghasilkan temuan untuk beberapa, tetapi tidak semua, kontrol yang diaktifkan. Diperlukan waktu hingga 24 jam untuk menghasilkan atau memperbarui temuan kontrol. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

# Meninjau detail standar keamanan
<a name="securityhub-standards-view-controls"></a>

Setelah Anda mengaktifkan standar keamanan di AWS Security Hub CSPM, Anda dapat menggunakan konsol untuk meninjau detail standar. Di konsol, halaman detail untuk standar mencakup informasi berikut:
+ Skor keamanan saat ini untuk standar.
+ Tabel kontrol yang berlaku untuk standar.
+ Statistik agregat untuk kontrol yang berlaku untuk standar.
+ Ringkasan visual status kontrol yang berlaku untuk standar.
+ Ringkasan visual pemeriksaan keamanan untuk kontrol yang diaktifkan dan berlaku untuk standar. Jika Anda mengintegrasikan dengan AWS Organizations, kontrol yang diaktifkan di setidaknya satu akun organisasi dianggap diaktifkan.

Untuk meninjau detail ini, pilih **Standar keamanan** di panel navigasi di konsol. Kemudian, di bagian untuk standar, pilih **Lihat hasil**. Untuk analisis yang lebih dalam, Anda dapat memfilter dan mengurutkan data, dan menelusuri untuk meninjau detail kontrol individual yang berlaku untuk standar.

**Topics**
+ [Memahami skor keamanan standar](#standard-details-overview)
+ [Meninjau kontrol untuk standar](#standard-controls-list)

## Memahami skor keamanan standar
<a name="standard-details-overview"></a>

Pada konsol CSPM AWS Security Hub, halaman detail untuk standar menampilkan skor keamanan untuk standar. Skor adalah persentase kontrol yang lulus evaluasi, relatif terhadap jumlah total kontrol yang berlaku untuk standar, diaktifkan, dan memiliki data evaluasi. Di bawah skor adalah bagan yang merangkum pemeriksaan keamanan untuk kontrol yang diaktifkan untuk standar. Ini termasuk jumlah pemeriksaan keamanan yang lulus dan gagal. Untuk akun administrator, skor dan bagan standar digabungkan di seluruh akun administrator dan semua akun anggota. Untuk meninjau pemeriksaan keamanan yang gagal untuk kontrol yang memiliki tingkat keparahan tertentu, pilih tingkat keparahannya.

Saat Anda mengaktifkan standar, Security Hub CSPM menghasilkan skor keamanan awal untuk standar, biasanya dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan di konsol** CSPM Security Hub. Skor dihasilkan hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Di Wilayah Tiongkok AWS GovCloud (US) Regions dan, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan skor awal. Setelah Security Hub CSPM menghasilkan skor awal untuk standar, itu memperbarui skor setiap 24 jam. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Semua data pada halaman detail **standar Keamanan** khusus untuk saat ini Wilayah AWS kecuali Anda menetapkan Wilayah agregasi. Jika Anda menetapkan Wilayah agregasi, skor keamanan berlaku di seluruh Wilayah dan menyertakan temuan untuk semua Wilayah yang ditautkan. Selain itu, status kepatuhan kontrol mencerminkan temuan dari Wilayah terkait, dan jumlah pemeriksaan keamanan mencakup temuan dari Wilayah terkait.

## Meninjau kontrol untuk standar
<a name="standard-controls-list"></a>

Saat Anda menggunakan konsol CSPM AWS Security Hub untuk meninjau detail standar yang Anda aktifkan, Anda dapat meninjau tabel kontrol keamanan yang berlaku untuk standar. Untuk setiap kontrol, tabel mencakup informasi berikut:
+ ID kontrol dan judul.
+ Status kontrol. Untuk informasi selengkapnya, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).
+ Tingkat keparahan yang ditugaskan untuk kontrol.
+ Jumlah cek yang gagal dan jumlah total cek. Jika berlaku, bidang **Pemeriksaan gagal** juga menentukan jumlah temuan dengan status **Tidak Diketahui**.
+ Apakah kontrol mendukung parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

Security Hub CSPM memperbarui status kontrol dan hitungan pemeriksaan keamanan setiap 24 jam. Stempel waktu di bagian atas halaman menunjukkan kapan Security Hub CSPM terbaru memperbarui data ini.

Untuk akun administrator, status kontrol dan jumlah pemeriksaan keamanan dikumpulkan di seluruh akun administrator dan semua akun anggota. Hitungan kontrol yang diaktifkan mencakup kontrol yang diaktifkan untuk standar di akun administrator atau setidaknya satu akun anggota. Hitungan kontrol yang dinonaktifkan mencakup kontrol yang dinonaktifkan untuk standar di akun administrator dan semua akun anggota.

Anda dapat memfilter tabel kontrol yang berlaku untuk standar. Menggunakan opsi **Filter menurut** di sebelah tabel, Anda dapat memilih untuk melihat hanya kontrol yang diaktifkan atau hanya dinonaktifkan untuk standar. Jika Anda hanya menampilkan kontrol yang diaktifkan, Anda dapat memfilter tabel lebih lanjut berdasarkan status kontrol. Anda kemudian dapat fokus pada kontrol yang memiliki status kontrol tertentu. Selain **Filter menurut** opsi, Anda dapat memasukkan kriteria filter di kotak **Kontrol filter**. Misalnya, Anda dapat memfilter berdasarkan ID kontrol atau judul.

Pilih metode akses pilihan Anda. Kemudian ikuti langkah-langkah untuk meninjau kontrol yang berlaku untuk standar yang Anda aktifkan.

------
#### [ Security Hub CSPM console ]

**Untuk meninjau kontrol untuk standar yang diaktifkan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Standar keamanan** di panel navigasi.

1. Di bagian untuk standar, pilih **Lihat hasil**.

Tabel di bagian bawah halaman mencantumkan semua kontrol yang berlaku untuk standar. Anda dapat memfilter dan mengurutkan tabel. Anda juga dapat mengunduh halaman tabel saat ini sebagai file CSV. Untuk melakukan ini, pilih **Unduh** di atas tabel. Jika Anda memfilter tabel, file yang diunduh hanya menyertakan kontrol yang cocok dengan pengaturan filter Anda saat ini.

------
#### [ Security Hub CSPM API ]

**Untuk meninjau kontrol untuk standar yang diaktifkan**

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)perintah.

   Tentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda tinjau kontrol. ARNs Untuk mendapatkan standar, gunakan [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau jalankan [perintah deskripsi-standar](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Jika Anda tidak menentukan ARN untuk standar, Security Hub CSPM mengembalikan semua kontrol keamanan. IDs

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)pengoperasian Security Hub CSPM API, atau jalankan perintah. [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) Operasi ini memberi tahu Anda standar mana kontrol diaktifkan.

   Identifikasi kontrol dengan memberikan ID kontrol keamanan atau ARN. Parameter pagination adalah opsional.

Contoh berikut memberi tahu Anda standar mana kontrol Config.1 diaktifkan.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Mematikan standar keamanan yang diaktifkan secara otomatis
<a name="securityhub-auto-enabled-standards"></a>

Jika organisasi Anda tidak menggunakan konfigurasi pusat, ia menggunakan jenis konfigurasi yang disebut *konfigurasi lokal*. Dengan konfigurasi lokal, AWS Security Hub CSPM dapat secara otomatis mengaktifkan standar keamanan default untuk akun anggota baru saat akun bergabung dengan organisasi Anda. Semua kontrol yang berlaku untuk standar default ini juga diaktifkan secara otomatis.

Saat ini, standar keamanan default adalah standar Praktik Terbaik Keamanan AWS Dasar dan standar Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Untuk informasi tentang standar ini, lihat[Referensi standar untuk Security Hub CSPM](standards-reference.md).

Jika Anda memilih untuk mengaktifkan standar keamanan secara manual untuk akun anggota baru, Anda dapat mematikan pengaktifan otomatis standar default. Anda dapat melakukan ini hanya jika Anda mengintegrasikan dengan AWS Organizations dan menggunakan konfigurasi lokal. Jika Anda menggunakan konfigurasi pusat, Anda dapat membuat kebijakan konfigurasi yang mengaktifkan standar default dan mengaitkan kebijakan dengan root. Semua akun organisasi Anda OUs kemudian mewarisi kebijakan konfigurasi ini kecuali jika dikaitkan dengan kebijakan yang berbeda atau dikelola sendiri. Jika Anda tidak berintegrasi dengan AWS Organizations, Anda dapat menonaktifkan standar default ketika Anda awalnya mengaktifkan Security Hub CSPM atau yang lebih baru. Untuk mempelajari caranya, lihat [Menonaktifkan standar](disable-standards.md).

Untuk menonaktifkan pengaktifan otomatis standar default untuk akun anggota baru, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah berikut untuk mematikan pengaktifan otomatis standar default dengan menggunakan konsol CSPM Security Hub.

**Untuk mematikan pengaktifan otomatis standar default**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Konfigurasi**.

1. Di bagian **Ikhtisar**, pilih **Edit**.

1. Di bawah **Pengaturan akun baru**, kosongkan kotak centang **Aktifkan standar keamanan default**.

1. Pilih **Konfirmasi**.

------
#### [ Security Hub CSPM API ]

Untuk mematikan pengaktifan otomatis standar default secara terprogram, dari akun administrator CSPM Security Hub, gunakan pengoperasian Security Hub CSPM API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) Dalam permintaan Anda, tentukan `NONE` `AutoEnableStandards` parameternya. 

Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)perintah untuk mematikan pengaktifan otomatis standar default. Untuk parameter `auto-enable-standards`, tentukan `NONE`. Misalnya, perintah berikut secara otomatis mengaktifkan Security Hub CSPM untuk akun anggota baru, dan mematikan pengaktifan otomatis standar default untuk akun tersebut.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Menonaktifkan standar keamanan
<a name="disable-standards"></a>

Ketika Anda menonaktifkan standar keamanan di AWS Security Hub CSPM, hal berikut akan terjadi:
+ Semua kontrol yang berlaku untuk standar dinonaktifkan, kecuali jika diasosiasikan dengan standar lain yang saat ini diaktifkan.
+ Pemeriksaan keamanan untuk kontrol yang dinonaktifkan tidak lagi dilakukan, dan tidak ada temuan tambahan yang dihasilkan untuk kontrol yang dinonaktifkan.
+ Temuan yang ada untuk kontrol yang dinonaktifkan diarsipkan secara otomatis setelah sekitar 3-5 hari.
+ AWS Config aturan bahwa Security Hub CSPM dibuat untuk kontrol yang dinonaktifkan dihapus.

Penghapusan AWS Config aturan yang sesuai biasanya terjadi dalam beberapa menit setelah menonaktifkan standar. Namun, mungkin butuh waktu lebih lama. Jika permintaan pertama gagal menghapus aturan, Security Hub CSPM mencoba lagi setiap 12 jam. Namun, jika Anda menonaktifkan CSPM Security Hub atau tidak mengaktifkan standar lain, CSPM Security Hub tidak dapat mencoba lagi, yang berarti tidak dapat menghapus aturan. Jika ini terjadi dan Anda perlu menghapus aturan, hubungi AWS Dukungan.

**Topics**
+ [Menonaktifkan standar di beberapa akun dan Wilayah AWS](#disable-standards-central-configuration)
+ [Menonaktifkan standar dalam satu akun dan Wilayah AWS](#securityhub-standard-disable-console)

## Menonaktifkan standar di beberapa akun dan Wilayah AWS
<a name="disable-standards-central-configuration"></a>

Untuk menonaktifkan standar keamanan di beberapa akun dan Wilayah AWS, gunakan [konfigurasi pusat](central-configuration-intro.md). Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan satu atau beberapa standar. Administrator kemudian dapat mengaitkan kebijakan konfigurasi dengan akun individu, unit organisasi (OUs), atau root. Kebijakan konfigurasi memengaruhi Wilayah asal, juga disebut sebagai Wilayah *agregasi, dan semua Wilayah* yang ditautkan.

Kebijakan konfigurasi menawarkan opsi penyesuaian. Misalnya, Anda dapat memilih untuk menonaktifkan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dalam satu OU. Untuk OU lain, Anda dapat memilih untuk menonaktifkan standar PCI DSS dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Untuk informasi tentang membuat kebijakan konfigurasi yang mengaktifkan atau menonaktifkan standar individual yang Anda tentukan, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**catatan**  
Administrator CSPM Security Hub dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar apa pun kecuali standar yang dikelola [AWS Control Tower layanan](service-managed-standard-aws-control-tower.md). Untuk menonaktifkan standar ini, administrator harus menggunakan AWS Control Tower secara langsung. Mereka juga harus menggunakan AWS Control Tower untuk menonaktifkan atau mengaktifkan kontrol individu dalam standar ini untuk akun yang dikelola secara terpusat.

*Jika Anda ingin beberapa akun mengonfigurasi atau menonaktifkan standar untuk akun mereka sendiri, administrator CSPM Security Hub dapat menetapkan akun tersebut sebagai akun yang dikelola sendiri.* Akun yang dikelola sendiri harus menonaktifkan standar secara terpisah di setiap Wilayah.

## Menonaktifkan standar dalam satu akun dan Wilayah AWS
<a name="securityhub-standard-disable-console"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar keamanan secara terpusat di beberapa akun atau. Wilayah AWS Namun, Anda dapat menonaktifkan standar dalam satu akun dan Wilayah. Anda dapat melakukannya dengan menggunakan konsol CSPM Security Hub atau Security Hub CSPM API. 

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah ini untuk menonaktifkan standar dalam satu akun dan Wilayah dengan menggunakan konsol CSPM Security Hub.

**Untuk menonaktifkan standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin menonaktifkan standar.

1. Di panel navigasi, pilih **Standar keamanan**.

1. Di bagian untuk standar yang ingin Anda nonaktifkan, pilih **Nonaktifkan standar**.

Untuk menonaktifkan standar di Wilayah tambahan, ulangi langkah-langkah sebelumnya di setiap Wilayah tambahan.

------
#### [ Security Hub CSPM API ]

Untuk menonaktifkan standar secara terprogram dalam satu akun dan Wilayah, gunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) Atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)perintah.

Dalam permintaan Anda, gunakan `StandardsSubscriptionArns` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda nonaktifkan. Jika Anda menggunakan AWS CLI, gunakan `standards-subscription-arns` parameter untuk menentukan ARN. Tentukan juga Wilayah tempat permintaan Anda berlaku. Misalnya, perintah berikut menonaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP) untuk akun (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Di *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* mana ARN standar FSBP untuk akun di Wilayah AS Timur (Virginia N.), dan *us-east-1* merupakan Wilayah untuk menonaktifkannya.

Untuk mendapatkan ARN untuk standar, Anda dapat menggunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) Operasi ini mengambil informasi tentang standar yang saat ini diaktifkan di akun Anda. Jika Anda menggunakan AWS CLI, Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk mengambil informasi ini.

------

Setelah Anda menonaktifkan standar, Security Hub CSPM mulai melakukan tugas untuk menonaktifkan standar di akun dan Wilayah yang ditentukan. Ini termasuk menonaktifkan semua kontrol yang berlaku untuk standar. Untuk memantau status tugas-tugas ini, Anda dapat [memeriksa status standar](enable-standards.md#standard-subscription-status) untuk akun dan Wilayah.

# Memahami kontrol keamanan di Security Hub CSPM
<a name="controls-view-manage"></a>

Dalam AWS Security Hub CSPM, *kontrol keamanan*, juga disebut sebagai *kontrol*, adalah perlindungan dalam standar keamanan yang membantu organisasi melindungi kerahasiaan, integritas, dan ketersediaan informasinya. Di Security Hub CSPM, kontrol terkait dengan sumber daya tertentu AWS .

Ketika Anda mengaktifkan kontrol dalam satu atau beberapa standar, Security Hub CSPM mulai menjalankan pemeriksaan keamanan di atasnya. Pemeriksaan keamanan menghasilkan temuan CSPM Security Hub. Saat Anda menonaktifkan kontrol, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan di dalamnya, dan temuan tidak lagi dihasilkan.

Anda dapat mengaktifkan atau menonaktifkan kontrol satu per satu untuk satu akun dan Wilayah AWS. Untuk menghemat waktu dan mengurangi penyimpangan konfigurasi di lingkungan multi-akun, sebaiknya gunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengaktifkan atau menonaktifkan kontrol. Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan yang menentukan bagaimana kontrol harus dikonfigurasi di beberapa akun dan Wilayah. Untuk informasi selengkapnya tentang mengaktifkan dan menonaktifkan kontrol, lihat. [Mengaktifkan kontrol di Security Hub CSPM](securityhub-standards-enable-disable-controls.md)

## Tampilan kontrol terkonsolidasi
<a name="consolidated-controls-view"></a>

Halaman **Kontrol** konsol CSPM Security Hub menampilkan semua kontrol yang tersedia saat ini Wilayah AWS (Anda dapat melihat kontrol dalam konteks standar dengan mengunjungi halaman standar **Keamanan dan memilih standar** yang diaktifkan). Security Hub CSPM menetapkan kontrol ID kontrol keamanan yang konsisten, judul, dan deskripsi di seluruh standar. Kontrol IDs termasuk nomor yang relevan Layanan AWS dan unik (misalnya, CodeBuild .3).

Informasi berikut tersedia di halaman **Kontrol** konsol [CSPM Security Hub](https://console.aws.amazon.com/securityhub/):
+ Skor keamanan keseluruhan berdasarkan proporsi kontrol yang dilewati dibandingkan dengan jumlah total kontrol yang diaktifkan dengan data
+ Rincian status kontrol di semua kontrol CSPM Security Hub yang didukung
+ Jumlah total pemeriksaan keamanan yang lulus dan gagal.
+ Jumlah pemeriksaan keamanan yang gagal untuk kontrol dengan tingkat keparahan yang berbeda-beda, dan tautan untuk melihat detail lebih lanjut tentang pemeriksaan yang gagal tersebut.
+ Daftar kontrol CSPM Security Hub, dengan filter untuk melihat subset kontrol tertentu.

Dari halaman **Kontrol**, Anda dapat memilih kontrol untuk melihat detailnya dan mengambil tindakan atas temuan yang dihasilkan oleh kontrol. Dari halaman ini, Anda juga dapat mengaktifkan atau menonaktifkan kontrol keamanan saat ini Akun AWS dan Wilayah AWS. Tindakan pemberdayaan dan penonaktifan dari halaman **Kontrol berlaku di seluruh** standar. Untuk informasi selengkapnya, lihat [Mengaktifkan kontrol di Security Hub CSPM](securityhub-standards-enable-disable-controls.md).

Untuk akun administrator, halaman **Kontrol** mencerminkan status kontrol di seluruh akun anggota. Jika pemeriksaan kontrol gagal di setidaknya satu akun anggota, status kontrol **Gagal**. Jika Anda telah menetapkan [Wilayah agregasi](finding-aggregation.md), halaman **Kontrol** mencerminkan status kontrol di semua Wilayah tertaut. Jika pemeriksaan kontrol gagal di setidaknya satu Wilayah tertaut, status kontrol **Gagal**.

Tampilan kontrol terkonsolidasi menyebabkan perubahan mengontrol bidang pencarian di Format Pencarian AWS Keamanan (ASFF) yang dapat memengaruhi alur kerja. Untuk informasi selengkapnya, lihat [Tampilan kontrol konsolidasi - perubahan ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).

## Skor keamanan ringkasan untuk kontrol
<a name="controls-overall-score"></a>

Halaman **Kontrol** menampilkan skor keamanan ringkasan dari 0-100 persen. Skor keamanan ringkasan dihitung berdasarkan proporsi kontrol yang diteruskan dibandingkan dengan jumlah total kontrol yang diaktifkan dengan data di seluruh standar.

**catatan**  
 Untuk melihat skor keamanan keseluruhan untuk kontrol, Anda harus menambahkan izin untuk memanggil **`BatchGetControlEvaluations`**ke peran IAM yang Anda gunakan untuk mengakses CSPM Security Hub. Izin ini tidak diperlukan untuk melihat skor keamanan untuk standar tertentu. 

Saat Anda mengaktifkan Security Hub CSPM, Security Hub CSPM menghitung skor keamanan awal dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan di konsol CSPM Security** Hub. Diperlukan waktu hingga 24 jam untuk skor keamanan pertama kali dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Regions

Selain skor keamanan keseluruhan, Security Hub CSPM menghitung skor keamanan standar untuk setiap standar yang diaktifkan dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman standar **Keamanan**. Untuk melihat daftar standar yang saat ini diaktifkan, gunakan operasi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)API.

AWS Config harus diaktifkan dengan rekaman sumber daya agar skor muncul. Untuk informasi tentang cara Security Hub CSPM menghitung skor keamanan, lihat. [Menghitung skor keamanan](standards-security-score.md)

Setelah menghasilkan skor pertama kali, Security Hub CSPM memperbarui skor keamanan setiap 24 jam. Security Hub CSPM menampilkan stempel waktu untuk menunjukkan kapan skor keamanan terakhir diperbarui.

Jika Anda telah menetapkan Wilayah agregasi, skor keamanan keseluruhan mencerminkan temuan kontrol di seluruh Wilayah yang ditautkan.

# Referensi kontrol untuk Security Hub CSPM
<a name="securityhub-controls-reference"></a>

Referensi kontrol ini menyediakan tabel kontrol CSPM AWS Security Hub yang tersedia dengan tautan ke informasi lebih lanjut tentang setiap kontrol. Dalam tabel, kontrol tercantum dalam urutan abjad berdasarkan ID kontrol. Hanya kontrol dalam penggunaan aktif oleh Security Hub CSPM yang disertakan di sini. Kontrol pensiun dikecualikan dari tabel.

Tabel memberikan informasi berikut untuk setiap kontrol:
+ **ID kontrol keamanan** — ID ini berlaku di seluruh standar dan menunjukkan Layanan AWS dan sumber daya yang terkait dengan kontrol. Konsol CSPM Security Hub menampilkan kontrol keamanan IDs, terlepas dari apakah [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings) diaktifkan atau dimatikan di akun Anda. Namun, temuan CSPM Security Hub IDs hanya mengacu pada kontrol keamanan jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa kontrol IDs bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs [Bagaimana konsolidasi berdampak pada kontrol IDs dan judul](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)

  Jika Anda ingin mengatur [otomatisasi](automations.md) untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sementara Security Hub CSPM kadang-kadang dapat memperbarui judul kontrol atau deskripsi, kontrol IDs tetap sama.

  Kontrol IDs dapat melewati angka. Ini adalah placeholder untuk kontrol masa depan.
+ **Judul kontrol keamanan** - Judul ini berlaku di seluruh standar. Konsol CSPM Security Hub menampilkan judul kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan CSPM Security Hub merujuk judul kontrol keamanan hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa judul kontrol bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs [Bagaimana konsolidasi berdampak pada kontrol IDs dan judul](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Standar yang berlaku** - Menunjukkan standar mana yang berlaku untuk kontrol. Pilih kontrol untuk meninjau persyaratan spesifik dari kerangka kerja kepatuhan pihak ketiga.
+ **Keparahan** — Tingkat keparahan kontrol mengidentifikasi pentingnya dari sudut pandang keamanan. Untuk informasi tentang cara CSPM Security Hub menentukan tingkat keparahan kontrol, lihat. [Tingkat keparahan untuk temuan kontrol](controls-findings-create-update.md#control-findings-severity)
+ **Mendukung parameter kustom** - Menunjukkan apakah kontrol mendukung nilai kustom untuk satu atau beberapa parameter. Pilih kontrol untuk meninjau detail parameter. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).
+ **Jenis jadwal** - Menunjukkan kapan kontrol dievaluasi. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Pilih kontrol untuk meninjau detail tambahan. Kontrol tercantum dalam urutan abjad oleh ID kontrol keamanan.


| ID kontrol keamanan | Judul kontrol keamanan | Standar yang berlaku | Kepelikan | Mendukung parameter khusus | Jenis jadwal | 
| --- | --- | --- | --- | --- | --- | 
| [Akun.1](account-controls.md#account-1)  | Informasi kontak keamanan harus disediakan untuk Akun AWS  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  | MEDIUM  | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala  | 
|  [Akun.2](account-controls.md#account-2)  |  Akun AWS harus menjadi bagian dari sebuah AWS Organizations organisasi  |  NIST SP 800-53 Wahyu 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ACM.1](acm-controls.md#acm-1)  |  Sertifikat yang diimpor dan diterbitkan ACM harus diperpanjang setelah jangka waktu tertentu  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu dan periodik  | 
|  [ACM.2](acm-controls.md#acm-2)  |  Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ACM.3](acm-controls.md#acm-3)  | Sertifikat ACM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Aplikasi Amplify harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Amplify branch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [APIGateway.1](apigateway-controls.md#apigateway-1)  |  API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  API Gateway harus dikaitkan dengan WAF Web ACL  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.5](apigateway-controls.md#apigateway-5)  |  Data cache API Gateway REST API harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.8](apigateway-controls.md#apigateway-8)  |  Rute API Gateway harus menentukan jenis otorisasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [APIGateway.9](apigateway-controls.md#apigateway-9)  |  Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AppConfig.1](appconfig-controls.md#appconfig-1)  | AWS AppConfig aplikasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig profil konfigurasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig lingkungan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig asosiasi ekstensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppFlow.1](appflow-controls.md#appflow-1)  |  AppFlow Aliran Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppRunner.1](apprunner-controls.md#apprunner-1)  | Layanan App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | Konektor VPC App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync harus mengaktifkan logging tingkat lapangan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync APIs GraphQL harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [AppSync.5](appsync-controls.md#appsync-5)  |  AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Athena.2](athena-controls.md#athena-2)  | Katalog data Athena harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Athena.3](athena-controls.md#athena-3)  | Kelompok kerja Athena harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Athena.4](athena-controls.md#athena-4)  | Kelompok kerja Athena seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [AutoScaling.1](autoscaling-controls.md#autoscaling-1)  | Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi instans EC2 agar memerlukan Layanan Metadata Instans Versi 2 () IMDSv2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  Instans Amazon EC2 yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.9](autoscaling-controls.md#autoscaling-9)  |  Grup EC2 Auto Scaling harus menggunakan templat peluncuran EC2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | Grup EC2 Auto Scaling harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Backup.1](backup-controls.md#backup-1)  |  AWS Backup titik pemulihan harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Backup.2](backup-controls.md#backup-2)  | AWS Backup poin pemulihan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.3](backup-controls.md#backup-3)  | AWS Backup brankas harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.4](backup-controls.md#backup-4)  | AWS Backup rencana laporan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Cadangan.5](backup-controls.md#backup-5)  | AWS Backup rencana cadangan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.1](batch-controls.md#batch-1)  | Antrian pekerjaan batch harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.2](batch-controls.md#batch-2)  | Kebijakan penjadwalan Batch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.3](batch-controls.md#batch-3)  | Lingkungan komputasi Batch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Batch.4](batch-controls.md#batch-4)  | Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation tumpukan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation tumpukan harus mengaktifkan perlindungan terminasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation tumpukan harus memiliki peran layanan terkait | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.1](cloudfront-controls.md#cloudfront-1)  | CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront distribusi harus memerlukan enkripsi dalam perjalanan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront distribusi harus memiliki failover asal yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.5](cloudfront-controls.md#cloudfront-5)  |  CloudFront distribusi harus mengaktifkan logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront distribusi harus mengaktifkan WAF  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.7](cloudfront-controls.md#cloudfront-7)  |  CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  | RENDAH |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.8](cloudfront-controls.md#cloudfront-8)  |  CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.9](cloudfront-controls.md#cloudfront-9)  |  CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.12](cloudfront-controls.md#cloudfront-12)  |  CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudFront.13](cloudfront-controls.md#cloudfront-13)  |  CloudFront distribusi harus menggunakan kontrol akses asal  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CloudFront.14](cloudfront-controls.md#cloudfront-14)  | CloudFront Distribusi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.16](cloudfront-controls.md#cloudfront-16)  | CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudFront.17](cloudfront-controls.md#cloudfront-17)  | CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CloudTrail.1](cloudtrail-controls.md#cloudtrail-1)  | CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5 AWS  | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail harus mengaktifkan enkripsi saat istirahat  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0 Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | Setidaknya satu CloudTrail jejak harus diaktifkan | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  CloudTrail validasi file log harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch  | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik  |  Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu dan periodik  | 
|  [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7)  |  Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 AWS AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail jalan setapak harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Penyimpanan data acara danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [CloudWatch.1](cloudwatch-controls.md#cloudwatch-1)  |  Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  Pastikan ada filter metrik log dan alarm untuk login Management Console tanpa MFA  | Tolok Ukur AWS Yayasan CIS v1.2.0  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5)  |  Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7)  |  Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8)  |  Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9)  |  Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  Pastikan filter metrik log dan alarm ada untuk perubahan VPC  | Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi  | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch grup log harus dipertahankan untuk jangka waktu tertentu  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  CloudWatch tindakan alarm harus diaktifkan  |  NIST SP 800-53 Wahyu 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeArtifact.1](codeartifact-controls.md#codeartifact-1)  | CodeArtifact repositori harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CodeBuild.1](codebuild-controls.md#codebuild-1)  | CodeBuild Repositori sumber Bitbucket tidak URLs boleh berisi kredensyal sensitif | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild variabel lingkungan proyek tidak boleh berisi kredensyal teks yang jelas  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild Log S3 harus dienkripsi  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild lingkungan proyek harus memiliki konfigurasi logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [CodeBuild.7](codebuild-controls.md#codebuild-7)  | CodeBuild ekspor kelompok laporan harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [CodeGuruProfiler.1](codeguruprofiler-controls.md#codeguruprofiler-1)  | CodeGuru Grup profil profiler harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [CodeGuruReviewer.1](codegurureviewer-controls.md#codegurureviewer-1)  | CodeGuru Asosiasi repositori reviewer harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.1](cognito-controls.md#cognito-1)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.2](cognito-controls.md#cognito-2)  | Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.3](cognito-controls.md#cognito-3)  | Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kognito.4](cognito-controls.md#cognito-4)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.5](cognito-controls.md#cognito-5)  | MFA harus diaktifkan untuk kumpulan pengguna Cognito | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Kognito.6](cognito-controls.md#cognito-6)  | Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Konfigurasi.1](config-controls.md#config-1)  | AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1 AWS  | KRITIS | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [Hubungkan.1](connect-controls.md#connect-1)  | Jenis objek Amazon Connect Customer Profiles harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Hubungkan.2](connect-controls.md#connect-2)  | Instans Amazon Connect seharusnya mengaktifkan CloudWatch logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DataFirehose.1](datafirehose-controls.md#datafirehose-1)  | Aliran pengiriman Firehose harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [DataSync.1](datasync-controls.md#datasync-1)  | DataSync tugas harus mengaktifkan pencatatan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync tugas harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Detektif.1](detective-controls.md#detective-1)  | Grafik perilaku Detektif harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.1](dms-controls.md#dms-1)  |  Contoh replikasi Database Migration Service tidak boleh bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [DMS.2](dms-controls.md#dms-2)  | Sertifikat DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.3](dms-controls.md#dms-3)  | Langganan acara DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.4](dms-controls.md#dms-4)  | Instans replikasi DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.5](dms-controls.md#dms-5)  | Grup subnet replikasi DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DMS.6](dms-controls.md#dms-6)  |  Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.7](dms-controls.md#dms-7)  |  Tugas replikasi DMS untuk database target harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.8](dms-controls.md#dms-8)  |  Tugas replikasi DMS untuk database sumber harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.9](dms-controls.md#dms-9)  |  Titik akhir DMS harus menggunakan SSL  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DMS.10](dms-controls.md#dms-10)  | Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.11](dms-controls.md#dms-11)  | Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.12](dms-controls.md#dms-12)  | Titik akhir DMS untuk Redis OSS harus mengaktifkan TLS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DMS.13](dms-controls.md#dms-13)  | Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [DokumenDB.1](documentdb-controls.md#documentdb-1)  |  Cluster Amazon DocumentDB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.2](documentdb-controls.md#documentdb-2)  |  Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [DokumenDB.3](documentdb-controls.md#documentdb-3)  |  Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.4](documentdb-controls.md#documentdb-4)  |  Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.5](documentdb-controls.md#documentdb-5)  |  Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DokumenDB.6](documentdb-controls.md#documentdb-6)  | Cluster Amazon DocumentDB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  Tabel DynamoDB harus mengaktifkan pemulihan point-in-time  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  Tabel DynamoDB harus ada dalam rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | Tabel DynamoDB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [DynamoDb.6](dynamodb-controls.md#dynamodb-6)  |  Tabel DynamoDB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [DynamoDb.7](dynamodb-controls.md#dynamodb-7)  | Cluster DynamoDB Accelerator harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  Snapshot EBS tidak boleh dipulihkan secara publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  Volume EBS yang terpasang harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  Pencatatan aliran VPC harus diaktifkan di semua VPCs  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  Enkripsi default EBS harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Tolok Ukur Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  Instans EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  Instans EC2 seharusnya tidak memiliki alamat publik IPv4  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  EC2 yang tidak digunakan EIPs harus dihapus  |  PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Wahyu 2 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.14](ec2-controls.md#ec2-14)  | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  Subnet EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  Instans EC2 tidak boleh menggunakan banyak ENIs  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | Grup keamanan EC2 yang tidak digunakan harus dihapus |   | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  Jenis instance paravirtual EC2 tidak boleh digunakan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  Template peluncuran EC2 tidak boleh menetapkan publik IPs ke antarmuka jaringan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  Volume EBS harus dalam rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | Lampiran gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.34](ec2-controls.md#ec2-34)  | Tabel rute gateway transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.35](ec2-controls.md#ec2-35)  | Antarmuka jaringan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.36](ec2-controls.md#ec2-36)  | Gateway pelanggan EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.37](ec2-controls.md#ec2-37)  | Alamat IP Elastis EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.38](ec2-controls.md#ec2-38)  | Instans EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.39](ec2-controls.md#ec2-39)  | Gerbang internet EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.40](ec2-controls.md#ec2-40)  | Gerbang EC2 NAT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.41](ec2-controls.md#ec2-41)  | Jaringan EC2 ACLs harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.42](ec2-controls.md#ec2-42)  | Tabel rute EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.43](ec2-controls.md#ec2-43)  | Grup keamanan EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.44](ec2-controls.md#ec2-44)  | Subnet EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.45](ec2-controls.md#ec2-45)  | Volume EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Layanan endpoint Amazon VPC harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Log aliran VPC Amazon harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Koneksi peering VPC Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.50](ec2-controls.md#ec2-50)  | Gateway EC2 VPN harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | Gerbang transit EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.53](ec2-controls.md#ec2-53)  | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.54](ec2-controls.md#ec2-54)  | Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [EC2.170](ec2-controls.md#ec2-170)  | Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2 | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.171](ec2-controls.md#ec2-171)  | Koneksi EC2 VPN seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.172](ec2-controls.md#ec2-172)  | Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.173](ec2-controls.md#ec2-173)  | Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.174](ec2-controls.md#ec2-174)  | Set opsi EC2 DHCP harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.175](ec2-controls.md#ec2-175)  | Template peluncuran EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.176](ec2-controls.md#ec2-176)  | Daftar awalan EC2 harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.177](ec2-controls.md#ec2-177)  | Sesi cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.178](ec2-controls.md#ec2-178)  | Filter cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.179](ec2-controls.md#ec2-179)  | Target cermin lalu lintas EC2 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EC2.180](ec2-controls.md#ec2-180)  | Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination  | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.181](ec2-controls.md#ec2-181)  | Template peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EC2.182](ec2-controls.md#ec2-182)  | Snapshot EBS seharusnya tidak dapat diakses publik | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | Repositori publik ECR harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECR.5](ecr-controls.md#ecr-5)  | Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  Definisi tugas ECS tidak boleh berbagi namespace proses host  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  Kontainer ECS harus berjalan sebagai non-hak istimewa  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  Kontainer ECS harus dibatasi pada akses hanya-baca ke sistem file root  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  Definisi tugas ECS harus memiliki konfigurasi logging  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  Cluster ECS harus menggunakan Wawasan Kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | Layanan ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.14](ecs-controls.md#ecs-14)  | Cluster ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.15](ecs-controls.md#ecs-15)  | Definisi tugas ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ECS.16](ecs-controls.md#ecs-16)  | Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.17](ecs-controls.md#ecs-17)  | Definisi tugas ECS tidak boleh menggunakan mode jaringan host | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.18](ecs-controls.md#ecs-18)  | Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.19](ecs-controls.md#ecs-19)  | Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.20](ecs-controls.md#ecs-20)  | Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ECS.21](ecs-controls.md#ecs-21)  | Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EFS.1](efs-controls.md#efs-1)  |  Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Volume Amazon EFS harus ada dalam paket cadangan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EFS.3](efs-controls.md#efs-3)  |  Titik akses EFS harus menerapkan direktori root  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EFS.4](efs-controls.md#efs-4)  |  Titik akses EFS harus menegakkan identitas pengguna  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EFS.5](efs-controls.md#efs-5)  | Titik akses EFS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EFS.6](efs-controls.md#efs-6)  | Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat peluncuran | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EFS.7](efs-controls.md#efs-7)  | Sistem file EFS harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EFS.8](efs-controls.md#efs-8)  | Sistem file EFS harus dienkripsi saat istirahat | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan Dasar AWS  | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.1](eks-controls.md#eks-1)  |  Titik akhir kluster EKS tidak boleh diakses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [EKS.2](eks-controls.md#eks-2)  |  Kluster EKS harus berjalan pada versi Kubernetes yang didukung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EKS.3](eks-controls.md#eks-3)  | Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EKS.6](eks-controls.md#eks-6)  | Kluster EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.7](eks-controls.md#eks-7)  | Konfigurasi penyedia identitas EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EKS.8](eks-controls.md#eks-8)  |  Kluster EKS harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ElastiCache.1](elasticache-controls.md#elasticache-1)  | ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache grup replikasi harus mengaktifkan failover otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache kelompok replikasi harus encrypted-at-rest |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.5](elasticache-controls.md#elasticache-5)  | ElastiCache kelompok replikasi harus encrypted-in-transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElastiCache.7](elasticache-controls.md#elasticache-7)  | ElastiCache cluster tidak boleh menggunakan grup subnet default |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ElasticBeanstalk.1](elasticbeanstalk-controls.md#elasticbeanstalk-1)  |  Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk harus mengalirkan log ke CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 |  TINGGI  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ELB.2](elb-controls.md#elb-2)  |  Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.5](elb-controls.md#elb-5)  |  Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.6](elb-controls.md#elb-6)  | Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ELB.7](elb-controls.md#elb-7)  |  Classic Load Balancers harus mengaktifkan pengurasan koneksi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  | RENDAH |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.8](elb-controls.md#elb-8)  |  Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki konfigurasi yang kuat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer harus menjangkau beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.13](elb-controls.md#elb-13)  |  Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus menjangkau beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Application Load Balancers harus dikaitkan dengan ACL web AWS WAF  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.17](elb-controls.md#elb-17)  | Aplikasi dan Network Load Balancer dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.18](elb-controls.md#elb-18)  | Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ELB.21](elb-controls.md#elb-21)  |  Grup sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ELB.22](elb-controls.md#elb-22)  |  Kelompok target ELB harus menggunakan protokol transport terenkripsi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EMR.1](emr-controls.md#emr-1)  | Node primer klaster EMR Amazon seharusnya tidak memiliki alamat IP publik | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EMR.2](emr-controls.md#emr-2)  | Amazon EMR memblokir pengaturan akses publik harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [EMR.3](emr-controls.md#emr-3)  | Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [EMR.4](emr-controls.md#emr-4)  | Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ES.1](es-controls.md#es-1)  |  Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ES.2](es-controls.md#es-2)  |  Domain Elasticsearch tidak boleh diakses publik  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [ES.3](es-controls.md#es-3)  |  Domain Elasticsearch harus mengenkripsi data yang dikirim antar node  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.4](es-controls.md#es-4)  |  Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.5](es-controls.md#es-5)  |  Domain Elasticsearch harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.6](es-controls.md#es-6)  |  Domain Elasticsearch harus memiliki setidaknya tiga node data  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.7](es-controls.md#es-7)  |  Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [ES.8](es-controls.md#es-8)  | Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [ES.9](es-controls.md#es-9)  | Domain Elasticsearch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | EventBridge bus acara harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  EventBridge bus acara khusus harus memiliki kebijakan berbasis sumber daya terlampir  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge titik akhir global harus mengaktifkan replikasi acara  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [FraudDetector.1](frauddetector-controls.md#frauddetector-1)  | Jenis entitas Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | Label Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | Hasil Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | Variabel Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [FSx.1](fsx-controls.md#fsx-1)  |  FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke backup dan volume  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke backup | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [FSx.5](fsx-controls.md#fsx-5)  | FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Lem. 1](glue-controls.md#glue-1)  | AWS Glue pekerjaan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Lem.3](glue-controls.md#glue-3)  | AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Lem.4](glue-controls.md#glue-4)  | AWS Glue Pekerjaan percikan harus berjalan pada versi yang didukung AWS Glue | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [GlobalAccelerator.1](globalaccelerator-controls.md#globalaccelerator-1)  | Akselerator Global Accelerator harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.1](guardduty-controls.md#guardduty-1)  |  GuardDuty harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty filter harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty detektor harus diberi tag  | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [GuardDuty.5](guardduty-controls.md#guardduty-5)  | GuardDuty Pemantauan Log Audit EKS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | GuardDuty Perlindungan Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | GuardDuty EKS Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | GuardDuty Perlindungan Malware untuk EC2 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.9](guardduty-controls.md#guardduty-9)  | GuardDuty Perlindungan RDS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | GuardDuty Perlindungan S3 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.11](guardduty-controls.md#guardduty-11)  | GuardDuty Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.12](guardduty-controls.md#guardduty-12)  | GuardDuty ECS Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | GuardDuty EC2 Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IAM.1](iam-controls.md#iam-1)  |  Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh  | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI DSS v3.2.1, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.2](iam-controls.md#iam-2)  |  Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, PCI AWS DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.3](iam-controls.md#iam-3)  |  Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v4.0.1 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.4](iam-controls.md#iam-4)  |  Kunci akses pengguna root IAM seharusnya tidak ada  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, AWS NIST SP 800-53 Rev. 5 AWS  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.5](iam-controls.md#iam-5)  |  MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v4.0.1 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.6](iam-controls.md#iam-6)  |  MFA perangkat keras harus diaktifkan untuk pengguna root  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.7](iam-controls.md#iam-7)  |  Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [IAM.8](iam-controls.md#iam-8)  |  Kredensyal pengguna IAM yang tidak digunakan harus dihapus  | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.9](iam-controls.md#iam-9)  |  MFA harus diaktifkan untuk pengguna root  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, AWS PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.10](iam-controls.md#iam-10)  |  Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat  | NIST SP 800-171 Wahyu 2, PCI DSS v3.2.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.11](iam-controls.md#iam-11)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf besar  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.12](iam-controls.md#iam-12)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf kecil  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.13](iam-controls.md#iam-13)  |  Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu simbol  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.14](iam-controls.md#iam-14)  |  Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor  | Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.15](iam-controls.md#iam-15)  |  Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.16](iam-controls.md#iam-16)  |  Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.17](iam-controls.md#iam-17)  |  Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang  | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.18](iam-controls.md#iam-18)  |  Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.19](iam-controls.md#iam-19)  |  MFA harus diaktifkan untuk semua pengguna IAM  | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.21](iam-controls.md#iam-21)  |  Kebijakan terkelola pelanggan IAM yang Anda buat tidak boleh mengizinkan tindakan wildcard untuk layanan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [IAM.22](iam-controls.md#iam-22)  |  Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-171 Rev. 2 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [IAM.23](iam-controls.md#iam-23)  | Alat analisis IAM Access Analyzer harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.24](iam-controls.md#iam-24)  | Peran IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.25](iam-controls.md#iam-25)  | Pengguna IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IAM.26](iam-controls.md#iam-26) |  SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IAM.27](iam-controls.md#iam-27)  | Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [IAM.28](iam-controls.md#iam-28)  | IAM Access Analyzer penganalisis akses eksternal harus diaktifkan | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0 AWS  | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.1](inspector-controls.md#inspector-1)  | Pemindaian Amazon Inspector EC2 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.2](inspector-controls.md#inspector-2)  | Pemindaian ECR Amazon Inspector harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.3](inspector-controls.md#inspector-3)  | Pemindaian kode Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Inspektor.4](inspector-controls.md#inspector-4)  | Pemindaian standar Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender profil keamanan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core tindakan mitigasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core dimensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core pemberi otorisasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core alias peran harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core kebijakan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .1](iotevents-controls.md#iotevents-1)  | AWS IoT Events input harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .2](iotevents-controls.md#iotevents-2)  | AWS IoT Events model detektor harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TEvents .3](iotevents-controls.md#iotevents-3)  | AWS IoT Events model alarm harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise model aset harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise dasbor harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise gateway harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise portal harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TSite Bijak.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise proyek harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io. 1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS Pekerjaan TwinMaker sinkronisasi IoT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io. 2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS TwinMaker Ruang kerja IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS TwinMaker Adegan IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [TTwinPembuat Io.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS TwinMaker Entitas IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .1](iotwireless-controls.md#iotwireless-1)  | AWS Grup multicast Nirkabel IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .2](iotwireless-controls.md#iotwireless-2)  | AWS Profil layanan IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Io TWireless .3](iotwireless-controls.md#iotwireless-3)  | AWS Tugas FUOTA IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.1](ivs-controls.md#ivs-1)  | Pasangan kunci pemutaran IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.2](ivs-controls.md#ivs-2)  | Konfigurasi perekaman IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [IVS.3](ivs-controls.md#ivs-3)  | Saluran IVS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Ruang kunci.1](keyspaces-controls.md#keyspaces-1)  | Ruang kunci Amazon Keyspaces harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Aliran Kinesis harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Aliran Kinesis harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Aliran Kinesis harus memiliki periode retensi data yang memadai | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [KMS.1](kms-controls.md#kms-1)  |  Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.2](kms-controls.md#kms-2)  |  Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys tidak boleh dihapus secara tidak sengaja  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key rotasi harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, AWS PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [KMS.5](kms-controls.md#kms-5)  | Kunci KMS tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Kebijakan fungsi Lambda harus melarang akses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Fungsi Lambda harus menggunakan runtime yang didukung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Fungsi Lambda harus dalam VPC  |  PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Fungsi Lambda harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Fungsi Lambda harus mengaktifkan penelusuran AWS X-Ray aktif | NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Macie.1](macie-controls.md#macie-1)  |  Amazon Macie harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [Macie.2](macie-controls.md#macie-2)  | Penemuan data sensitif otomatis Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [MSK.1](msk-controls.md#msk-1)  |  Cluster MSK harus dienkripsi dalam perjalanan di antara node broker  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MSK.2](msk-controls.md#msk-2)  |  Cluster MSK harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi  |  NIST SP 800-53 Wahyu 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MSK.3](msk-controls.md#msk-3)  | Konektor MSK Connect harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [MSK.4](msk-controls.md#msk-4)  | Kluster MSK harus menonaktifkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MSK.5](msk-controls.md#msk-5)  | Konektor MSK seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MSK.6](msk-controls.md#msk-6)  | Kluster MSK harus menonaktifkan akses yang tidak diautentikasi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MQ.2](mq-controls.md#mq-2)  | Broker ActiveMQ harus mengalirkan log audit ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [MQ.4](mq-controls.md#mq-4)  | Broker Amazon MQ harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [MQ.5](mq-controls.md#mq-5)  |  Broker ActiveMQ harus menggunakan mode penerapan active/standby  | NIST SP 800-53 Wahyu 5 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [MQ.6](mq-controls.md#mq-6)  |  Broker RabbitMQ harus menggunakan mode penerapan cluster  | NIST SP 800-53 Wahyu 5 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.1](neptune-controls.md#neptune-1)  |  Cluster DB Neptunus harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [Neptunus.2](neptune-controls.md#neptune-2)  |  Cluster DB Neptunus harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Perubahan dipicu | 
|  [Neptunus.3](neptune-controls.md#neptune-3)  |  Snapshot cluster Neptunus DB seharusnya tidak bersifat publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.4](neptune-controls.md#neptune-4)  |  Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.5](neptune-controls.md#neptune-5)  |  Cluster DB Neptunus harus mengaktifkan cadangan otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Neptunus.6](neptune-controls.md#neptune-6)  |  Snapshot cluster Neptunus DB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.7](neptune-controls.md#neptune-7)  |  Cluster DB Neptunus harus mengaktifkan otentikasi database IAM  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.8](neptune-controls.md#neptune-8)  |  Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Neptunus.9](neptune-controls.md#neptune-9)  |  Cluster DB Neptunus harus digunakan di beberapa Availability Zone  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.1](networkfirewall-controls.md#networkfirewall-1)  |  Firewall Network Firewall harus digunakan di beberapa Availability Zone  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  Pencatatan Network Firewall harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5)  |  Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket yang terfragmentasi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  Grup aturan firewall jaringan stateless tidak boleh kosong  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7)  | Firewall Network Firewall harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8)  | Kebijakan firewall Network Firewall harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9)  |  Firewall Network Firewall harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Firewall Network Firewall harus mengaktifkan perlindungan perubahan subnet | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch domain harus mengaktifkan enkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch Domain tidak boleh diakses publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch domain harus mengenkripsi data yang dikirim antar node  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  OpenSearch kesalahan domain saat masuk ke CloudWatch Log harus diaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch domain harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch domain harus memiliki setidaknya tiga node data  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch domain harus mengaktifkan kontrol akses berbutir halus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru |  AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch domain harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch domain harus memiliki setidaknya tiga node primer khusus | NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS Private CA otoritas sertifikat root harus dinonaktifkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  | Berkala | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS Otoritas sertifikat CA swasta harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.1](rds-controls.md#rds-1)  |  Snapshot RDS harus bersifat pribadi  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.2](rds-controls.md#rds-2)  |  Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.3](rds-controls.md#rds-3)  |  Instans RDS DB harus mengaktifkan enkripsi saat istirahat  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5 AWS  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.4](rds-controls.md#rds-4)  |  Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.5](rds-controls.md#rds-5)  |  Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone  | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.6](rds-controls.md#rds-6)  |  Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.7](rds-controls.md#rds-7)  |  Cluster RDS harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  | MEDIUM |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.8](rds-controls.md#rds-8)  |  Instans RDS DB harus mengaktifkan perlindungan penghapusan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.9](rds-controls.md#rds-9)  | Instans RDS DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.10](rds-controls.md#rds-10)  |  Autentikasi IAM harus dikonfigurasi untuk instance RDS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.11](rds-controls.md#rds-11)  |  Instans RDS harus mengaktifkan pencadangan otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.12](rds-controls.md#rds-12)  |  Autentikasi IAM harus dikonfigurasi untuk cluster RDS  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.13](rds-controls.md#rds-13)  |  Peningkatan versi minor otomatis RDS harus diaktifkan  | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Cluster Amazon Aurora seharusnya mengaktifkan backtracking  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [RDS.15](rds-controls.md#rds-15)  |  Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone  | Tolok Ukur AWS Yayasan CIS v5.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.16](rds-controls.md#rds-16)  | Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH  | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.17](rds-controls.md#rds-17)  |  Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.18](rds-controls.md#rds-18)  |  Instans RDS harus digunakan dalam VPC  |   |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.19](rds-controls.md#rds-19)  |  Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster kritis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.20](rds-controls.md#rds-20)  |  Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.21](rds-controls.md#rds-21)  |  Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data kritis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.22](rds-controls.md#rds-22)  |  Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.23](rds-controls.md#rds-23)  |  Instans RDS tidak boleh menggunakan port default mesin database  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.24](rds-controls.md#rds-24)  |  Cluster Database RDS harus menggunakan nama pengguna administrator khusus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.25](rds-controls.md#rds-25)  |  Contoh database RDS harus menggunakan nama pengguna administrator khusus  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.26](rds-controls.md#rds-26)  |  Instans RDS DB harus dilindungi oleh rencana cadangan  |  NIST SP 800-53 Wahyu 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [RDS.27](rds-controls.md#rds-27)  |  Cluster RDS DB harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.28](rds-controls.md#rds-28)  | Cluster RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.29](rds-controls.md#rds-29)  | Snapshot cluster RDS DB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.30](rds-controls.md#rds-30)  | Instans RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.31](rds-controls.md#rds-31)  | Grup keamanan RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.32](rds-controls.md#rds-32)  | Snapshot RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.33](rds-controls.md#rds-33)  | Grup subnet RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.34](rds-controls.md#rds-34)  |  Cluster Aurora MySQL DB harus mempublikasikan log audit ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.35](rds-controls.md#rds-35)  |  Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [RDS.36](rds-controls.md#rds-36)  | RDS untuk instance PostgreSQL DB harus mempublikasikan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.37](rds-controls.md#rds-37)  | Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS untuk instance PostgreSQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS untuk instance MySQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.40](rds-controls.md#rds-40)  | RDS untuk instance SQL Server DB harus mempublikasikan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS untuk instance SQL Server DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.42](rds-controls.md#rds-42)  | RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [RDS.43](rds-controls.md#rds-43)  | Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS untuk instance MariaDB DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.45](rds-controls.md#rds-45)  | Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.46](rds-controls.md#rds-46)  | Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RDS.47](rds-controls.md#rds-47)  | RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.48](rds-controls.md#rds-48)  | RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RDS.50](rds-controls.md#rds-50)  |  Cluster RDS DB harus memiliki periode retensi cadangan yang cukup ditetapkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Ya  |  Perubahan dipicu  | 
|  [Pergeseran merah.1](redshift-controls.md#redshift-1)  |  Cluster Amazon Redshift harus melarang akses publik  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran merah.2](redshift-controls.md#redshift-2)  |  Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran merah.3](redshift-controls.md#redshift-3)  |  Cluster Amazon Redshift harus mengaktifkan snapshot otomatis  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [Pergeseran merah.4](redshift-controls.md#redshift-4)  |  Cluster Amazon Redshift harus mengaktifkan pencatatan audit  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.6](redshift-controls.md#redshift-6)  |  Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.7](redshift-controls.md#redshift-7)  |  Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.8](redshift-controls.md#redshift-8)  |  Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.10](redshift-controls.md#redshift-10)  |  Cluster Redshift harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [Pergeseran Merah.11](redshift-controls.md#redshift-11)  | Cluster Redshift harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.12](redshift-controls.md#redshift-12)  | Pemberitahuan berlangganan acara Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.13](redshift-controls.md#redshift-13)  | Cuplikan klaster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.14](redshift-controls.md#redshift-14)  | Grup subnet cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.15](redshift-controls.md#redshift-15)  | Grup keamanan Redshift harus mengizinkan masuknya pada port cluster hanya dari asal yang dibatasi | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Pergeseran Merah.16](redshift-controls.md#redshift-16)  | Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Pergeseran Merah.17](redshift-controls.md#redshift-17)  | Grup parameter cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Pergeseran Merah.18](redshift-controls.md#redshift-18)  | Cluster Redshift harus mengaktifkan penerapan Multi-AZ | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [RedshiftServerless.1](redshiftserverless-controls.md#redshiftserverless-1)  | Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Kelompok kerja Redshift Tanpa Server harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Berkala | 
|  [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5)  | Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch  | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Route53.1](route53-controls.md#route53-1)  | Pemeriksaan kesehatan Route 53 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Route53.2](route53-controls.md#route53-2)  |  Rute 53 zona yang dihosting publik harus mencatat kueri DNS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [S3.1](s3-controls.md#s3-1)  | Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.2](s3-controls.md#s3-2)  | Bucket tujuan umum S3 harus memblokir akses baca publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [S3.3](s3-controls.md#s3-3)  | Bucket tujuan umum S3 harus memblokir akses tulis publik | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu dan periodik | 
|  [S3.5](s3-controls.md#s3-5)  | Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.6](s3-controls.md#s3-6)  | Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.7](s3-controls.md#s3-7)  | Bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.8](s3-controls.md#s3-8)  | Bucket tujuan umum S3 harus memblokir akses publik | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.9](s3-controls.md#s3-9)  | Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.10](s3-controls.md#s3-10)  | Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | NIST SP 800-53 Wahyu 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.11](s3-controls.md#s3-11)  | Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3 | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.13](s3-controls.md#s3-13)  | Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.14](s3-controls.md#s3-14)  | Bucket tujuan umum S3 harus mengaktifkan versi | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.15](s3-controls.md#s3-15)  | Bucket tujuan umum S3 harus mengaktifkan Object Lock | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 | MEDIUM | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [S3.17](s3-controls.md#s3-17)  | Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.19](s3-controls.md#s3-19)  | Titik akses S3 harus mengaktifkan pengaturan akses publik blok | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.20](s3-controls.md#s3-20)  | Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS  | RENDAH | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.22](s3-controls.md#s3-22)  | Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.23](s3-controls.md#s3-23)  | Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek | Tolok Ukur AWS Yayasan CIS v5.0.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS AWS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [S3.24](s3-controls.md#s3-24)  | Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik yang diblokir | AWS Praktik Terbaik Keamanan Dasar, PCI DSS v4.0.1 | TINGGI | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [S3.25](s3-controls.md#s3-25)  | Bucket direktori S3 harus memiliki konfigurasi siklus hidup | AWS Praktik Terbaik Keamanan Dasar | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.1](sagemaker-controls.md#sagemaker-1)  |  Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker instance notebook harus diluncurkan dalam VPC khusus  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker varian produksi endpoint harus memiliki jumlah instance awal yang lebih besar dari 1 | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SageMaker.5](sagemaker-controls.md#sagemaker-5)  | SageMaker model harus mengaktifkan isolasi jaringan | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker konfigurasi gambar aplikasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.7](sagemaker-controls.md#sagemaker-7)  | SageMaker gambar harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SageMaker.8](sagemaker-controls.md#sagemaker-8)  | SageMaker instance notebook harus berjalan pada platform yang didukung | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SageMaker.9](sagemaker-controls.md#sagemaker-9)  |  SageMaker definisi pekerjaan kualitas data harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker definisi pekerjaan penjelasan model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker definisi pekerjaan kualitas data harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.12](sagemaker-controls.md#sagemaker-12)  |  SageMaker definisi pekerjaan bias model harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.13](sagemaker-controls.md#sagemaker-13)  |  SageMaker definisi pekerjaan kualitas model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.14](sagemaker-controls.md#sagemaker-14)  |  SageMaker jadwal pemantauan harus mengaktifkan isolasi jaringan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker definisi pekerjaan bias model harus mengaktifkan enkripsi lalu lintas antar kontainer  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SecretsManager.1](secretsmanager-controls.md#secretsmanager-1)  |  Rahasia Secrets Manager harus mengaktifkan rotasi otomatis  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  Hapus rahasia Secrets Manager yang tidak digunakan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Berkala  | 
|  [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5)  | Rahasia Secrets Manager harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [ServiceCatalog.1](servicecatalog-controls.md#servicecatalog-1)  | Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SES.1](ses-controls.md#ses-1)  | Daftar kontak SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SES.2](ses-controls.md#ses-2)  | Set konfigurasi SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SES.3](ses-controls.md#ses-3)  | Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SNS.1](sns-controls.md#sns-1)  | Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS | NIST SP 800-53 Wahyu 5, NIST SP 800-171 Wahyu 2 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SNS.3](sns-controls.md#sns-3)  | Topik SNS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SNS.4](sns-controls.md#sns-4)  | Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Antrian Amazon SQS harus dienkripsi saat istirahat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SQ.2](sqs-controls.md#sqs-2)  | Antrian SQS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SQS.3](sqs-controls.md#sqs-3)  | Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik | AWS Praktik Terbaik Keamanan Dasar | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  Instans EC2 harus dikelola oleh AWS Systems Manager  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 |  TINGGI  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Instans EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  Dokumen SSM tidak boleh bersifat publik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  KRITIS  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | Dokumen SSM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [SSM.6](ssm-controls.md#ssm-6)  | Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [SSM.7](ssm-controls.md#ssm-7)  | Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | KRITIS | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [StepFunctions.1](stepfunctions-controls.md#stepfunctions-1)  |  Mesin status Step Functions harus mengaktifkan logging  | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 |  MEDIUM  |  ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya  |  Perubahan dipicu  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | Aktivitas Step Functions harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Alur kerja Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi endpoint | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Berkala | 
|  [Transfer.3](transfer-controls.md#transfer-3)  | Konektor Transfer Family seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5 | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [Transfer.4](transfer-controls.md#transfer-4)  | Perjanjian Transfer Family harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.5](transfer-controls.md#transfer-5)  | Sertifikat Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Konektor Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Profil Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | ![\[Yes\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-yes.png) Ya | Perubahan dipicu | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS Pencatatan ACL Web Global WAF Classic harus diaktifkan  | AWS Praktik Terbaik Keamanan Dasar, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS Aturan WAF Classic Regional harus memiliki setidaknya satu syarat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS Kelompok aturan WAF Classic Regional harus memiliki setidaknya satu aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS Web WAF Classic Regional ACLs harus memiliki setidaknya satu aturan atau kelompok aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS Aturan global WAF Classic harus memiliki setidaknya satu syarat  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS Grup aturan global WAF Classic harus memiliki setidaknya satu aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS Web global WAF Classic ACLs harus memiliki setidaknya satu aturan atau grup aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS Web WAF ACLs harus memiliki setidaknya satu aturan atau kelompok aturan  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS Pencatatan ACL web WAF harus diaktifkan  | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 |  RENDAH  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Berkala  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS Aturan WAF harus mengaktifkan CloudWatch metrik  |  AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2  |  MEDIUM  |  ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak  |  Perubahan dipicu  | 
|  [WorkSpaces.1](workspaces-controls.md#workspaces-1)  | WorkSpaces volume pengguna harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces volume root harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar | MEDIUM | ![\[No\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/images/icon-no.png) Tidak | Perubahan dipicu | 

# Ubah log untuk kontrol CSPM Security Hub
<a name="controls-change-log"></a>

Log perubahan berikut melacak perubahan material pada kontrol CSPM AWS Security Hub yang ada, yang dapat mengakibatkan perubahan pada keseluruhan status kontrol dan status kepatuhan temuannya. Untuk informasi tentang cara CSPM Security Hub mengevaluasi status kontrol, lihat. [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md) Perubahan dapat memakan waktu beberapa hari setelah entri mereka di log ini untuk memengaruhi semua Wilayah AWS kontrol yang tersedia.

Log ini melacak perubahan yang terjadi sejak April 2023. Pilih kontrol untuk meninjau detail tambahan tentangnya. Perubahan judul dicatat dalam deskripsi rinci kontrol selama 90 hari.


| Tanggal perubahan | Kontrol ID dan judul | Deskripsi perubahan | 
| --- | --- | --- | 
| April 3, 2026 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.32`. `1.33` Dukungan standar untuk Kubernetes versi 1.32 di Amazon EKS berakhir pada 23 Maret 2026.  | 
| April 3, 2026 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Parameter Lambda.2 untuk runtime yang didukung tidak lagi disertakan karena ruby3.2 Lambda telah menghentikan runtime ini. | 
| Maret 24, 2026 | [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) | Security Hub CSPM memperbarui judul kontrol untuk mencerminkan bahwa kontrol memeriksa semua cluster RDS DB. | 
| Maret 24, 2026 | [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) | Security Hub CSPM memperbarui judul kontrol dan deskripsi untuk mencerminkan bahwa kontrol memeriksa definisi tugas ECS. Security Hub CSPM juga memperbarui kontrol untuk tidak menghasilkan temuan untuk definisi tugas dengan `runtimePlatform` dikonfigurasi untuk menentukan keluarga `WINDOWS_SERVER` OS. | 
| Maret 9, 2026 | [AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Maret 9, 2026 | [AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Maret 4, 2026 | [ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari standar [AWS Foundational Security Best Practices (FSBP) dan standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5.  | 
| Februari 5, 2026 | [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) | Security Hub CSPM akan menghentikan kontrol ini dan menghapus dari semua standar CSPM Security Hub yang berlaku pada 9 Maret 2026. AWS AppSync menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Februari 5, 2026 | [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) | Security Hub CSPM akan menghentikan kontrol ini dan menghapus dari semua standar CSPM Security Hub yang berlaku pada 9 Maret 2026. AWS AppSync menyediakan enkripsi default pada semua cache API saat ini dan masa depan. | 
| Januari 16, 2026 | [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) | Security Hub CSPM memberikan pemberitahuan bahwa kontrol ini akan dihentikan dan dihapus dari semua standar CSPM Security Hub yang berlaku setelah 16 Februari 2026. | 
| Januari 12, 2026 | [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) | Security Hub CSPM memperbarui kontrol ini untuk menghapus parameter. `loggingEnabled` | 
| Januari 12, 2026 | [MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis | Security Hub CSPM menghentikan kontrol dan menghapus kontrol dari semua standar yang berlaku. Security Hub CSPM menghentikan kontrol karena persyaratan Amazon MQ untuk peningkatan versi minor otomatis. [Sebelumnya, kontrol diterapkan pada standar [AWS Foundational Security Best Practices (FSBP), standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 dan standar PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| Januari 12, 2026 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `dotnet10` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| Desember 15, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `python3.9` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime ini. | 
| Desember 12, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.31`. `1.32` Dukungan standar untuk Kubernetes versi 1.31 di Amazon EKS berakhir pada 26 November 2025.  | 
| November 21, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `nodejs24.x` dan `python3.14` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| November 14, 2025 | [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) | Security Hub CSPM memperbarui deskripsi dan alasan untuk kontrol ini. Sebelumnya, kontrol hanya memeriksa penetapan otomatis IP IPv4 publik di subnet Amazon VPC menggunakan bendera. `MapPublicIpOnLaunch` Kontrol ini sekarang memeriksa keduanya IPv4 dan penetapan otomatis IP IPv6 publik. Deskripsi dan alasan kontrol telah diperbarui untuk mencerminkan perubahan ini. | 
| November 14, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `java25` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| November 13, 2025 | [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `CRITICAL` Mengizinkan akses publik ke topik Amazon SNS menimbulkan risiko keamanan yang signifikan. | 
| November 13, 2025 | [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `CRITICAL` Mengizinkan akses publik ke antrian Amazon SQS menimbulkan risiko keamanan yang signifikan. | 
| November 13, 2025 | [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `HIGH` Jenis pemantauan runtime ini menyediakan deteksi ancaman yang ditingkatkan untuk sumber daya Amazon EKS. | 
| November 13, 2025 | [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Peningkatan versi minor mencakup tambalan keamanan yang diperlukan untuk menjaga keamanan broker Amazon MQ. | 
| November 13, 2025 | [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Pembaruan perangkat lunak mencakup tambalan keamanan yang diperlukan untuk menjaga keamanan OpenSearch domain. | 
| November 13, 2025 | [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` Perlindungan penghapusan membantu mencegah penghapusan database Amazon RDS secara tidak sengaja dan penghapusan database RDS oleh entitas yang tidak sah. | 
| November 13, 2025 | [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`LOW`. `MEDIUM` AWS CloudTrail data logging di Amazon CloudWatch Logs dapat digunakan untuk aktivitas audit, alarm, dan operasi keamanan penting lainnya. | 
| November 13, 2025 | [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`HIGH`. `MEDIUM` Berbagi AWS Service Catalog portofolio dengan akun tertentu dapat disengaja dan tidak selalu menunjukkan bahwa portofolio dapat diakses publik. | 
| November 13, 2025 | [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `LOW` Nama `cloudfront.net` domain default untuk CloudFront distribusi Amazon dihasilkan secara acak, yang mengurangi risiko keamanan. | 
| November 13, 2025 | [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) | Security Hub CSPM mengubah tingkat keparahan kontrol ini dari ke`MEDIUM`. `LOW` Dalam penerapan multi-instance, instance sehat lainnya dapat menangani sesi pengguna saat instance dihentikan tanpa menguras koneksi, yang mengurangi dampak operasional dan risiko ketersediaan. | 
| November 13, 2025 | [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM memperbarui kontrol ini untuk menghapus parameter opsional`validAdminUserNames`. | 
| Oktober 23, 2025 | [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) | Security Hub CSPM mengembalikan perubahan yang dibuat pada judul, deskripsi, dan aturan untuk kontrol ini pada 14 Oktober 2025. | 
| Oktober 22, 2025 | [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM memperbarui kontrol ini untuk tidak menghasilkan temuan untuk CloudFront distribusi Amazon yang menggunakan asal kustom.  | 
| Oktober 16, 2025 | [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) | Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan. Security Hub CSPM sekarang mendukung `TLSv1.2_2025` dan `TLSv1.3_2025` sebagai nilai parameter untuk kontrol ini. | 
| Oktober 14, 2025 | [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) | Security Hub CSPM mengubah judul, deskripsi, dan aturan untuk kontrol ini. [Sebelumnya, kontrol memeriksa kluster Redis OSS dan semua grup replikasi, menggunakan aturan -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) Judul kontrolnya adalah: *ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis*. [Kontrol ini sekarang memeriksa cluster Valkey selain cluster Redis OSS dan semua grup replikasi, menggunakan aturan -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) Judul dan deskripsi baru mencerminkan bahwa kontrol memeriksa kedua jenis cluster.  | 
| Oktober 5, 2025 | [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) | Aturan untuk kontrol ini diperbarui untuk juga menghasilkan `PASSED` temuan jika domain OpenSearch Layanan Amazon tidak memiliki pembaruan perangkat lunak yang tersedia dan status pembaruan tidak memenuhi syarat. Sebelumnya, kontrol ini menghasilkan `PASSED` temuan hanya jika OpenSearch domain tidak memiliki pembaruan perangkat lunak yang tersedia dan status pembaruan selesai.  | 
| September 24, 2025 | [Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default [RedshiftServerless.7] Ruang nama Redshift Tanpa Server seharusnya tidak menggunakan nama database default | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar yang berlaku. Security Hub CSPM menghentikan kontrol ini karena keterbatasan Amazon Redshift yang melekat yang mencegah perbaikan temuan yang efektif untuk kontrol. `FAILED` Sebelumnya, kontrol diterapkan pada standar [AWS Foundational Security Best Practices (FSBP) dan standar](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5. [Kontrol Redshift.9 juga diterapkan pada standar yang dikelola layanan.AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)  | 
| September 9, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `nodejs18.x` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime Node.js 18. | 
| Agustus 13, 2025 | [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih akurat mencerminkan bahwa kontrol memeriksa pengaturan untuk `EnableNetworkIsolation` parameter model yang dihosting Amazon SageMaker AI. Sebelumnya, judul kontrol ini adalah: *SageMaker models should block inbound traffic*.  | 
| Agustus 13, 2025 | [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) | Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih tepat mencerminkan ruang lingkup dan sifat pemeriksaan yang dilakukan kontrol. Sebelumnya, judul kontrol ini adalah: *EFS mount targets should not be associated with a public subnet*.  | 
| Juli 24, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Security Hub CSPM mengubah nilai parameter untuk kontrol ini dari ke`1.30`. `1.31` Dukungan standar untuk Kubernetes versi 1.30 di Amazon EKS berakhir pada 23 Juli 2025.  | 
| Juli 23, 2025 | [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) | Security Hub CSPM mengubah judul kontrol ini. Judul baru lebih akurat mencerminkan bahwa kontrol hanya memeriksa permintaan Armada Spot Amazon EC2 yang menentukan parameter peluncuran. Sebelumnya, judul kontrol ini adalah: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*.  | 
| Juni 30, 2025 | [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) | Security Hub CSPM menghapus kontrol ini dari standar [PCI DSS](pci-standard.md) v4.0.1. PCI DSS v4.0.1 tidak secara eksplisit memerlukan penggunaan simbol dalam kata sandi.  | 
| Juni 30, 2025 | [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) | Security Hub CSPM menghapus kontrol ini dari standar [NIST SP 800-171](standards-reference-nist-800-171.md) Revisi 2. NIST SP 800-171 Revisi 2 tidak secara eksplisit memerlukan periode kedaluwarsa kata sandi 90 hari atau kurang.  | 
| Juni 30, 2025 | [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) | Security Hub CSPM mengubah judul kontrol ini. Judul baru lebih akurat mencerminkan bahwa kontrol hanya memeriksa cluster Amazon Aurora DB. Sebelumnya, judul kontrol ini adalah: *RDS DB clusters should be configured to copy tags to snapshots*. | 
| Juni 30, 2025 | [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) | Kontrol ini memeriksa apakah instance notebook Amazon SageMaker AI dikonfigurasi untuk berjalan pada platform yang didukung, berdasarkan pengenal platform yang ditentukan untuk instance notebook. Security Hub CSPM tidak lagi mendukung `notebook-al2-v1` dan `notebook-al2-v2` sebagai nilai parameter untuk kontrol ini. Instans notebook yang berjalan pada platform ini mencapai akhir dukungan pada 30 Juni 2025. | 
| 30 Mei 2025 | [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) | Security Hub CSPM menghapus kontrol ini dari standar [PCI DSS](pci-standard.md) v4.0.1. Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM memenuhi persyaratan minimum, termasuk panjang kata sandi minimum 7 karakter. PCI DSS v4.0.1 sekarang membutuhkan kata sandi untuk memiliki minimal 8 karakter. Kontrol terus berlaku untuk standar PCI DSS v3.2.1, yang memiliki persyaratan kata sandi yang berbeda. [Untuk mengevaluasi kebijakan kata sandi akun terhadap persyaratan PCI DSS v4.0.1, Anda dapat menggunakan kontrol IAM.7.](iam-controls.md#iam-7) Kontrol ini membutuhkan kata sandi untuk memiliki minimal 8 karakter. Ini juga mendukung nilai khusus untuk panjang kata sandi dan parameter lainnya. Kontrol IAM.7 adalah bagian dari standar PCI DSS v4.0.1 di Security Hub CSPM.  | 
| 8 Mei 2025 | [RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet | Security Hub CSPM memutar kembali rilis kontrol RDS.46 secara keseluruhan. Wilayah AWS Sebelumnya, kontrol ini mendukung standar AWS Foundational Security Best Practices (FSBP). | 
| April 7, 2025 | [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) | Kontrol ini memeriksa apakah pendengar HTTPS untuk Application Load Balancer atau pendengar TLS untuk Network Load Balancer dikonfigurasi untuk mengenkripsi data dalam perjalanan menggunakan kebijakan keamanan yang disarankan. Security Hub CSPM sekarang mendukung dua nilai parameter tambahan untuk kontrol ini: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` dan. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` | 
| Maret 27, 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung `ruby3.4` sebagai nilai parameter untuk kontrol ini. AWS Lambda menambahkan dukungan untuk runtime ini. | 
| Maret 26, 2025 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Untuk `oldestVersionSupported` parameter, Security Hub CSPM mengubah nilai dari `1.29` ke. `1.30` Versi Kubernetes tertua yang didukung sekarang. `1.30` | 
| 10 Maret 2025 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) | Kontrol ini memeriksa apakah setelan runtime untuk AWS Lambda fungsi cocok dengan nilai yang diharapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung `dotnet6` dan `python3.8` sebagai nilai parameter untuk kontrol ini. AWS Lambda tidak lagi mendukung runtime ini. | 
| 7 Maret 2025 | [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) | Security Hub CSPM menghapus kontrol ini dari standar Praktik Terbaik Keamanan AWS Dasar dan pemeriksaan otomatis untuk persyaratan NIST SP 800-53 Rev. 5. Sejak jaringan Amazon EC2-Classic dihentikan, instans Amazon Relational Database Service (Amazon RDS) tidak dapat lagi digunakan di luar VPC. Kontrol terus menjadi bagian dari standar yang [AWS Control Tower dikelola layanan](service-managed-standard-aws-control-tower.md). | 
| Januari 10, 2025 | [Glue.2] Pekerjaan AWS Glue seharusnya mengaktifkan logging | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. | 
| Desember 20, 2024 | EC2.61 melalui EC2.169  | Security Hub CSPM meluncurkan kembali rilis EC2.61 melalui kontrol EC2.169. | 
| Desember 12, 2024 | [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23)  | RDS.23 memeriksa apakah cluster atau instance Amazon Relational Database Service (Amazon RDS) menggunakan port selain port default mesin database. Kami memperbarui kontrol sehingga AWS Config aturan yang mendasarinya mengembalikan hasil NOT\$1APPLICABLE untuk instance RDS yang merupakan bagian dari cluster. | 
| Desember 2, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung nodejs22.x sebagai parameter. | 
| November 26, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung sekarang1.29. | 
| November 20, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Config.1 memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM meningkatkan tingkat keparahan kontrol ini dari ke`MEDIUM`. `CRITICAL` Security Hub CSPM juga menambahkan [kode status baru dan alasan status](controls-findings-create-update.md#control-findings-asff-compliance) untuk temuan Config.1 yang gagal. Perubahan ini mencerminkan pentingnya Config.1 untuk pengoperasian kontrol CSPM Security Hub. Jika Anda memiliki AWS Config atau perekaman sumber daya dinonaktifkan, Anda dapat menerima temuan kontrol yang tidak akurat. Untuk menerima `PASSED` temuan untuk Config.1, aktifkan perekaman sumber daya untuk sumber daya yang sesuai dengan kontrol CSPM Security Hub yang diaktifkan, dan nonaktifkan kontrol yang tidak diperlukan di organisasi Anda. Untuk petunjuk tentang mengonfigurasi AWS Config CSPM Security Hub, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk daftar kontrol CSPM Security Hub dan sumber daya yang sesuai, lihat. [AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md) | 
| November 12, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.13 sebagai parameter. | 
| Oktober 11, 2024 | ElastiCache kontrol  | Mengubah judul kontrol untuk ElastiCache .3, ElastiCache .4, ElastiCache .5, dan .7. ElastiCache Judul tidak lagi menyebutkan Redis OSS karena kontrol juga berlaku ElastiCache untuk Valkey. | 
| September 27, 2024 | [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4)  | Judul kontrol yang diubah dari Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http ke Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid. | 
| Agustus 19, 2024 | Judul berubah ke DMS.12 dan kontrol ElastiCache  | Mengubah judul kontrol untuk DMS.12 dan .1 hingga ElastiCache .7. ElastiCache Kami mengubah judul-judul ini untuk mencerminkan perubahan nama di layanan Amazon ElastiCache (Redis OSS). | 
| Agustus 15, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Config.1 memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM menambahkan parameter kontrol kustom bernama. includeConfigServiceLinkedRoleCheck Dengan menyetel parameter inifalse, Anda dapat memilih untuk tidak memeriksa apakah AWS Config menggunakan peran terkait layanan. | 
| Juli 31, 2024 | [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1)  | Judul kontrol yang diubah dari profil AWS IoT Core keamanan harus ditandai ke profil AWS IoT Device Defender keamanan harus ditandai. | 
| Juli 29, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung nodejs16.x sebagai parameter. | 
| Juli 29, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung adalah1.28. | 
| Juni 25, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Kontrol ini memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub CSPM memperbarui judul kontrol untuk mencerminkan apa yang dievaluasi oleh kontrol. | 
| Juni 14, 2024 | [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34)  | Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Security Hub CSPM memperbarui kontrol sehingga tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB. | 
| Juni 11, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung adalah1.27. | 
| Juni 10, 2024 | [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | Kontrol ini memeriksa apakah AWS Config diaktifkan dan perekaman AWS Config sumber daya diaktifkan. Sebelumnya, kontrol menghasilkan PASSED temuan hanya jika Anda mengonfigurasi rekaman untuk semua sumber daya. Security Hub CSPM memperbarui kontrol untuk menghasilkan PASSED temuan saat perekaman diaktifkan untuk sumber daya yang diperlukan untuk kontrol yang diaktifkan. Kontrol juga telah diperbarui untuk memeriksa apakah peran AWS Config terkait layanan digunakan, yang memberikan izin untuk merekam sumber daya yang diperlukan. | 
| 8 Mei 2024 | [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)  | Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 telah mengaktifkan penghapusan autentikasi multi-faktor (MFA). Sebelumnya, kontrol menghasilkan FAILED temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Namun, penghapusan MFA dengan pembuatan versi tidak dapat diaktifkan pada bucket yang memiliki konfigurasi Siklus Hidup. Security Hub CSPM memperbarui kontrol agar tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Deskripsi kontrol telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| 2 Mei 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.26. | 
| April 30, 2024 | [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)  | Judul kontrol yang diubah dari CloudTrail harus diaktifkan ke Setidaknya satu CloudTrail jejak harus diaktifkan. Kontrol ini saat ini menghasilkan PASSED temuan jika Akun AWS memiliki setidaknya satu CloudTrail jejak diaktifkan. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| April 29, 2024 | [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1)  | Judul kontrol yang diubah dari grup Auto Scaling yang terkait dengan Classic Load Balancer harus menggunakan pemeriksaan kesehatan penyeimbang beban ke grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB. Kontrol ini saat ini mengevaluasi Application, Gateway, Network, dan Classic Load Balancer. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| April 19, 2024 | [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  | Kontrol memeriksa apakah AWS CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup peristiwa manajemen baca dan tulis. Sebelumnya, kontrol salah menghasilkan PASSED temuan ketika akun telah CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah, bahkan jika tidak ada jejak yang menangkap peristiwa manajemen baca dan tulis. Kontrol sekarang menghasilkan PASSED temuan hanya ketika CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. | 
| April 10, 2024 | [Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Workgroup Athena mengirim log ke bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. | 
| April 10, 2024 | [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Batas hop respons metadata untuk instans Amazon Elastic Compute Cloud (Amazon EC2) bergantung pada beban kerja. | 
| April 10, 2024 | [CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS)  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mengintegrasikan AWS CloudFormation tumpukan dengan topik Amazon SNS bukan lagi praktik terbaik keamanan. Meskipun mengintegrasikan CloudFormation tumpukan penting dengan topik SNS dapat bermanfaat, itu tidak diperlukan untuk semua tumpukan. | 
| April 10, 2024 | [CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mengaktifkan mode istimewa dalam CodeBuild proyek tidak menimbulkan risiko tambahan bagi lingkungan pelanggan. | 
| April 10, 2024 | [IAM.20] Hindari penggunaan pengguna root  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Tujuan dari kontrol ini dicakup oleh kontrol lain,[[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1). | 
| April 10, 2024 | [SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Mencatat status pengiriman untuk topik SNS bukan lagi praktik terbaik keamanan. Meskipun mencatat status pengiriman untuk topik SNS penting dapat berguna, itu tidak diperlukan untuk semua topik. | 
| April 10, 2024 | [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Tujuan dari kontrol ini dicakup oleh dua kontrol lainnya: [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) dan[[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14). Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 10, 2024 | [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Meskipun ada beberapa kasus di mana pemberitahuan acara untuk bucket S3 berguna, ini bukan praktik terbaik keamanan universal. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 10, 2024 | [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Secara default, SNS mengenkripsi topik saat istirahat dengan enkripsi disk. Untuk informasi selengkapnya tentang [enkripsi](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html) saat istirahat, lihat. Menggunakan AWS KMS untuk mengenkripsi topik tidak lagi direkomendasikan sebagai praktik terbaik keamanan. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. | 
| April 8, 2024 | [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6)  | Judul kontrol yang diubah dari perlindungan penghapusan Application Load Balancer harus diaktifkan ke Application, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan. Kontrol ini saat ini mengevaluasi Application, Gateway, dan Network Load Balancers. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. | 
| Maret 22, 2024 | [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8)  | Judul kontrol yang diubah dari Koneksi ke OpenSearch domain harus dienkripsi menggunakan TLS 1.2 hingga Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke OpenSearch domain menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika OpenSearch domain dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| Maret 22, 2024 | [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8)  | Judul kontrol yang diubah dari Connections ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2 ke Connections to Elasticsearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke domain Elasticsearch menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika domain Elasticsearch dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| Maret 12, 2024 | [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan ke bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2)  | Judul yang diubah dari bucket S3 harus melarang akses baca publik ke bucket tujuan umum S3 harus memblokir akses baca publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3)  | Judul yang diubah dari bucket S3 harus melarang akses tulis publik ke bucket tujuan umum S3 harus memblokir akses tulis publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  | Judul yang diubah dari bucket S3 harus memerlukan permintaan untuk menggunakan Secure Socket Layer ke bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)  | Judul yang diubah dari izin S3 yang diberikan ke kebijakan bucket lainnya harus dibatasi Akun AWS pada kebijakan bucket tujuan umum S3 yang harus membatasi akses ke yang lain. Akun AWS Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)  | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan pada bucket tujuan umum tingkat ember ke S3 harus memblokir akses publik. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)  | Judul yang diubah dari pencatatan akses server bucket S3 harus diaktifkan ke Pencatatan akses Server harus diaktifkan untuk bucket tujuan umum S3. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10)  | Judul yang diubah dari bucket S3 dengan versi diaktifkan harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 dengan versi yang diaktifkan harus memiliki konfigurasi Siklus Hidup. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)  | Judul yang diubah dari bucket S3 harus mengaktifkan notifikasi acara ke bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12)  | Judul yang diubah dari daftar kontrol akses S3 (ACLs) tidak boleh digunakan untuk mengelola akses pengguna ke bucket agar ACLs tidak digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13)  | Judul yang diubah dari bucket S3 harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14)  | Judul yang diubah dari bucket S3 harus menggunakan pembuatan versi ke bucket tujuan umum S3 harus mengaktifkan versi. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15)  | Judul yang diubah dari bucket S3 harus dikonfigurasi untuk menggunakan Object Lock ke bucket tujuan umum S3 harus mengaktifkan Object Lock. Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| Maret 12, 2024 | [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)  | Judul yang diubah dari bucket S3 harus dienkripsi saat istirahat dengan AWS KMS keys bucket tujuan umum S3 harus dienkripsi saat istirahat. AWS KMS keys Security Hub CSPM mengubah judul menjadi akun untuk jenis bucket S3 baru. | 
| 7 Maret 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung nodejs20.x dan ruby3.3 sebagai parameter. | 
| Februari 22, 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung dotnet8 sebagai parameter. | 
| Februari 5, 2024 | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.25.  | 
| 10 Januari 2024 | [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1)  | Judul yang diubah dari CodeBuild GitHub atau repositori sumber Bitbucket URLs harus digunakan OAuth untuk repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal URLs  sensitif. Security Hub CSPM menghapus penyebutan OAuth karena metode koneksi lain juga bisa aman. Security Hub CSPM menghapus penyebutan GitHub karena tidak mungkin lagi memiliki token akses pribadi atau nama pengguna dan kata sandi di repositori GitHub sumber. URLs | 
| 8 Januari 2024 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung go1.x dan java8 sebagai parameter karena ini adalah runtime yang sudah pensiun. | 
| Desember 29, 2023 | [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8)  | RDS.8 memeriksa apakah instans Amazon RDS DB yang menggunakan salah satu mesin database yang didukung telah mengaktifkan perlindungan penghapusan. Security Hub CSPM sekarang mendukungcustom-oracle-ee,oracle-ee-cdb, dan oracle-se2-cdb sebagai mesin database. | 
| 22 Desember 2023 | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung java21 dan python3.12 sebagai parameter. Security Hub CSPM tidak lagi mendukung ruby2.7 sebagai parameter. | 
| 15 Desember 2023 | [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 memeriksa apakah CloudFront distribusi Amazon memiliki objek root default yang dikonfigurasi. Security Hub CSPM menurunkan tingkat keparahan kontrol ini dari CRITICAL ke HIGH karena menambahkan objek root default adalah rekomendasi yang bergantung pada aplikasi pengguna dan persyaratan spesifik. | 
| 5 Desember 2023  | [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | Judul kontrol yang diubah dari Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port 22 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22.  | 
| 5 Desember 2023  | [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  | Judul kontrol yang diubah dari Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 3389 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389.  | 
| 5 Desember 2023  | [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)  | Judul kontrol yang diubah dari pencatatan Database harus diaktifkan ke instans RDS DB harus menerbitkan log ke CloudWatch Log. Security Hub CSPM mengidentifikasi bahwa kontrol ini hanya memeriksa apakah log dipublikasikan ke Amazon CloudWatch Logs dan tidak memeriksa apakah log RDS diaktifkan. Kontrol menghasilkan PASSED temuan jika instans RDS DB dikonfigurasi untuk menerbitkan log ke CloudWatch Log. Judul kontrol telah diperbarui untuk mencerminkan perilaku saat ini.  | 
| 5 Desember 2023 | [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8)  | Kontrol ini memeriksa apakah klaster Amazon EKS mengaktifkan pencatatan audit. AWS Config Aturan yang digunakan Security Hub CSPM untuk mengevaluasi kontrol ini berubah dari eks-cluster-logging-enabled ke. eks-cluster-log-enabled | 
| 17 November 2023  | [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19)  | EC2.19 memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan dapat diakses ke port tertentu yang dianggap berisiko tinggi. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 November 2023  | [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15)  | Judul kontrol yang diubah dari CloudWatch alarm harus memiliki tindakan yang dikonfigurasi untuk status ALARM ke CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi.  | 
| 16 November 2023  | [[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu](cloudwatch-controls.md#cloudwatch-16)  | Judul kontrol yang diubah dari grup CloudWatch log harus dipertahankan setidaknya selama 1 tahun untuk grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu.  | 
| 16 November 2023  | [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5)  | Judul kontrol yang diubah dari fungsi VPC Lambda harus beroperasi di lebih dari satu Availability Zone ke VPC Lambda fungsi harus beroperasi di beberapa Availability Zone.  | 
| 16 November 2023  | [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2)  | Judul kontrol yang diubah dari AWS AppSync seharusnya mengaktifkan pencatatan tingkat permintaan dan tingkat bidang harus mengaktifkan logging tingkat bidang.AWS AppSync   | 
| 16 November 2023  | [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1)  | Judul kontrol yang diubah dari node master MapReduce cluster Amazon Elastic seharusnya tidak memiliki alamat IP publik ke node primer klaster EMR Amazon tidak boleh memiliki alamat IP publik.  | 
| 16 November 2023  | [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2)  | Judul kontrol yang diubah dari OpenSearch domain harus dalam VPC OpenSearch ke domain tidak boleh diakses publik.  | 
| 16 November 2023  | [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2)  | Judul kontrol yang diubah dari domain Elasticsearch harus dalam VPC ke domain Elasticsearch tidak boleh diakses publik.  | 
| 31 Oktober 2023  | [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4)  | ES.4 memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Amazon Logs. CloudWatch Kontrol sebelumnya menghasilkan PASSED temuan untuk domain Elasticsearch yang memiliki log yang dikonfigurasi untuk dikirim ke CloudWatch Log. Security Hub CSPM memperbarui kontrol untuk menghasilkan PASSED temuan hanya untuk domain Elasticsearch yang dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch Kontrol juga diperbarui untuk mengecualikan versi Elasticsearch yang tidak mendukung log kesalahan dari evaluasi.  | 
| 16 Oktober 2023  | [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | EC2.13 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 22. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  | EC2.14 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 3389. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18)  | EC2.18 memeriksa apakah grup keamanan yang digunakan mengizinkan lalu lintas masuk yang tidak dibatasi. Security Hub CSPM memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'.  | 
| 16 Oktober 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.11 sebagai parameter.  | 
| 4 Oktober 2023  | [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | Security Hub CSPM menambahkan parameter ReplicationType dengan nilai CROSS-REGION untuk memastikan bahwa bucket S3 mengaktifkan replikasi lintas wilayah daripada replikasi wilayah yang sama.  | 
| 27 September 2023  | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | Security Hub CSPM memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang lewat. Versi tertua yang didukung saat ini adalah Kubernetes1.24.  | 
| 20 September 2023  | [CloudFront.2] CloudFront distribusi harus mengaktifkan identitas akses asal  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Sebaliknya, gunakan [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13). Kontrol akses asal adalah praktik terbaik keamanan saat ini. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. | 
| 20 September 2023  | [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22)  | Security Hub CSPM menghapus kontrol ini dari AWS Foundational Security Best Practices (FSBP) dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Itu masih merupakan bagian dari Standar yang Dikelola Layanan:. AWS Control Tower Kontrol ini menghasilkan temuan yang diteruskan jika grup keamanan dilampirkan ke instans EC2 atau ke elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan kontrol EC2 lainnya—seperti EC2.2, EC2.13, EC2.14, EC2.18, dan EC2.19—untuk memantau grup keamanan Anda.  | 
| 20 September 2023  | [EC2.29] Instans EC2 harus diluncurkan dalam VPC  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon EC2 telah memigrasikan instans EC2-Classic ke VPC. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. | 
| 20 September 2023  | [S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server  | Security Hub CSPM menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. Pengaturan enkripsi tidak berubah untuk bucket yang ada yang dienkripsi dengan enkripsi sisi server SS3 -S3 atau -KMS. SS3 Kontrol ini akan dihapus dari dokumentasi dalam 90 hari.  | 
| 14 September 2023  | [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  | Judul kontrol yang diubah dari Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar ke grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar.  | 
| 14 September 2023  | [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  | Judul kontrol yang diubah dari MFA Virtual harus diaktifkan untuk pengguna root ke MFA harus diaktifkan untuk pengguna root.  | 
|  14 September 2023  | [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19)  | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting.  | 
| 14 September 2023  | [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20)  | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instance database penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting.  | 
| 14 September 2023  | [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2)  | Judul kontrol yang diubah dari Aturan Regional WAF harus memiliki setidaknya satu syarat untuk aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat.  | 
| 14 September 2023  | [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3)  | Judul kontrol yang diubah dari grup aturan WAF Regional harus memiliki setidaknya satu aturan untuk grup aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan.  | 
| 14 September 2023  | [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4)  | Judul kontrol yang diubah dari ACL web Regional WAF harus memiliki setidaknya satu aturan atau grup aturan ke web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6)  | Judul kontrol yang diubah dari aturan global WAF harus memiliki setidaknya satu syarat untuk aturan global AWS WAF Klasik harus memiliki setidaknya satu kondisi.  | 
| 14 September 2023  | [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7)  | Judul kontrol yang diubah dari grup aturan global WAF harus memiliki setidaknya satu aturan ke grup aturan global AWS WAF Klasik harus memiliki setidaknya satu aturan.  | 
| 14 September 2023  | [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8)  | Judul kontrol yang diubah dari ACL web global WAF harus memiliki setidaknya satu aturan atau grup aturan ke Web global AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10)  | Judul kontrol yang diubah dari ACL WAFv2 web harus memiliki setidaknya satu aturan atau grup aturan ke AWS WAF web ACLs harus memiliki setidaknya satu aturan atau grup aturan.  | 
| 14 September 2023  | [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11)  | Judul kontrol yang diubah dari AWS WAF v2 web ACL logging harus diaktifkan ke AWS WAF web ACL logging harus diaktifkan.  | 
|  Juli 20, 2023  | [S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server  | S3.4 memeriksa apakah bucket Amazon S3 mengaktifkan enkripsi sisi server atau kebijakan bucket S3 secara eksplisit menolak permintaan tanpa enkripsi sisi server. PutObject Security Hub CSPM memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-S3, SSE-KMS, atau DSSE-KMS.  | 
| Juli 17, 2023  | [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)  | S3.17 memeriksa apakah bucket Amazon S3 dienkripsi dengan file. AWS KMS key Security Hub CSPM memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-KMS atau DSSE-KMS.  | 
| 9 Juni 2023  | [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)  | EKS.2 memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung sekarang. 1.23  | 
| 9 Juni 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung ruby3.2 sebagai parameter.  | 
| Juni 5, 2023  | [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5)  | APIGateway.5.memeriksa apakah semua metode dalam tahapan API Amazon API Gateway REST dienkripsi saat istirahat. Security Hub CSPM memperbarui kontrol untuk mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.  | 
| 18 Mei 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung java17 sebagai parameter.  | 
| 18 Mei 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung nodejs12.x sebagai parameter.  | 
| April 23, 2023  | [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10)  | ECS.10 memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Pelanggan dapat menyebarkan Amazon ECS melalui ECS secara langsung, atau dengan menggunakan. CodeDeploy Security Hub CSPM memperbarui kontrol ini untuk menghasilkan temuan Lulus saat Anda menggunakan layanan CodeDeploy ECS Fargate.  | 
| 20 April 2023  | [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)  | S3.6 memeriksa apakah kebijakan bucket Amazon Simple Storage Service (Amazon S3) mencegah prinsipal dari pihak Akun AWS lain melakukan tindakan yang ditolak pada sumber daya di bucket S3. Security Hub CSPM memperbarui kontrol untuk memperhitungkan persyaratan dalam kebijakan bucket.  | 
| 18 April 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM sekarang mendukung python3.10 sebagai parameter. | 
| 18 April 2023  | [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)  | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub CSPM tidak lagi mendukung dotnetcore3.1 sebagai parameter. | 
| 17 April 2023  | [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11)  | RDS.11 memeriksa apakah instans Amazon RDS telah mengaktifkan pencadangan otomatis, dengan periode retensi cadangan yang lebih besar dari atau sama dengan tujuh hari. Security Hub CSPM memperbarui kontrol ini untuk mengecualikan replika baca dari evaluasi, karena tidak semua mesin mendukung pencadangan otomatis pada replika baca. Selain itu, RDS tidak menyediakan opsi untuk menentukan periode retensi cadangan saat membuat replika baca. Replika baca dibuat dengan periode retensi cadangan secara 0 default.  | 

# Kontrol CSPM Security Hub untuk Akun AWS
<a name="account-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi. Akun AWS

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
<a name="account-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.2, Nist.800-53.r5 CM-2, Nist.800-53.r5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akun Amazon Web Services (AWS) memiliki informasi kontak keamanan. Kontrol gagal jika informasi kontak keamanan tidak disediakan untuk akun.

Kontak keamanan alternatif memungkinkan AWS untuk menghubungi orang lain tentang masalah dengan akun Anda jika Anda tidak tersedia. Pemberitahuan dapat berasal dari Dukungan, atau Layanan AWS tim lain tentang topik terkait keamanan yang terkait dengan penggunaan Anda. Akun AWS 

### Remediasi
<a name="account-1-remediation"></a>

Untuk menambahkan kontak alternatif sebagai kontak keamanan ke kontak Anda Akun AWS, lihat [Memperbarui kontak alternatif untuk Anda Akun AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) di *Panduan Referensi Manajemen AWS Akun*.

## [Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations
<a name="account-2"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa Akun AWS apakah suatu bagian dari organisasi yang dikelola melalui AWS Organizations. Kontrol gagal jika akun bukan bagian dari organisasi.

Organizations membantu Anda mengelola lingkungan secara terpusat saat Anda meningkatkan beban kerja. AWS Anda dapat menggunakan beberapa Akun AWS untuk mengisolasi beban kerja yang memiliki persyaratan keamanan tertentu, atau untuk mematuhi kerangka kerja seperti HIPAA atau PCI. Dengan membuat organisasi, Anda dapat mengelola beberapa akun sebagai satu unit dan mengelola akses Layanan AWS, sumber daya, dan Wilayah secara terpusat.

### Remediasi
<a name="account-2-remediation"></a>

Untuk membuat organisasi baru dan Akun AWS menambahkannya secara otomatis, lihat [Membuat organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) di *Panduan AWS Organizations Pengguna*. Untuk menambahkan akun ke organisasi yang ada, lihat [Mengundang Akun AWS untuk bergabung dengan organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) di *Panduan AWS Organizations Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Amplify
<a name="amplify-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Amplify layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Amplify.1] Aplikasi Amplify harus diberi tag
<a name="amplify-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Amplify::App`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Amplify aplikasi memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika aplikasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya akan memeriksa keberadaan kunci tag dan gagal jika aplikasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="amplify-1-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Amplify aplikasi, lihat [Dukungan penandaan sumber daya](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) di *Panduan Pengguna AWS Amplify Hosting*.

## [Amplify.2] Amplify branch harus diberi tag
<a name="amplify-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Amplify::Branch`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Amplify cabang memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika cabang tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cabang tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="amplify-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Amplify cabang, lihat [Dukungan penandaan sumber daya](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) di *Panduan Pengguna AWS Amplify Hosting*.

# Kontrol CSPM Security Hub untuk Amazon API Gateway
<a name="apigateway-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon API Gateway. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
<a name="apigateway-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Tingkat pencatatan log  |  Enum  |  `ERROR`, `INFO`  |  `No default value`  | 

Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah mengaktifkan logging. Kontrol gagal jika `loggingLevel` tidak `ERROR` atau `INFO` untuk semua tahapan API. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat logging salah satu atau`ERROR`. `INFO`

API Gateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. API Gateway REST dan pencatatan eksekusi WebSocket API menyediakan catatan terperinci tentang permintaan yang dibuat ke API Gateway REST dan tahapan WebSocket API. Tahapannya meliputi respons backend integrasi API, respons otorisasi Lambda, dan titik akhir untuk integrasi. `requestId` AWS 

### Remediasi
<a name="apigateway-1-remediation"></a>

Untuk mengaktifkan logging untuk operasi REST dan WebSocket API, lihat [Mengatur pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*.

## [APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend
<a name="apigateway-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahapan API Amazon API Gateway REST memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway.

Tahapan API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan tersebut berasal dari API Gateway.

### Remediasi
<a name="apigateway-2-remediation"></a>

*Untuk petunjuk mendetail tentang cara membuat dan mengonfigurasi sertifikat SSL API Gateway REST API, lihat [Menghasilkan dan mengonfigurasi sertifikat SSL untuk autentikasi backend di Panduan Pengembang](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) API Gateway.*

## [APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran
<a name="apigateway-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk tahapan API REST Amazon API Gateway Anda.

X-Ray active tracing memungkinkan respons yang lebih cepat terhadap perubahan kinerja pada infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. X-Ray active tracing menyediakan metrik real-time permintaan pengguna yang mengalir melalui operasi API API Gateway REST API dan layanan yang terhubung.

### Remediasi
<a name="apigateway-3-remediation"></a>

Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran aktif X-Ray untuk operasi API Gateway REST API, lihat [dukungan penelusuran aktif Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) di Panduan *AWS X-Ray Pengembang*. 

## [APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF
<a name="apigateway-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika ACL AWS WAF web tidak dilampirkan ke tahap REST API Gateway.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="apigateway-4-remediation"></a>

Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan ACL web AWS WAF Regional dengan tahap API Gateway API yang ada, lihat [Menggunakan AWS WAF untuk melindungi Anda APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) di *Panduan Pengembang API Gateway*.

## [APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
<a name="apigateway-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan data > Enkripsi data saat istirahat

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGateway::Stage`

**AWS Config aturan:** `api-gw-cache-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah semua metode dalam tahapan API Gateway REST API yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub CSPM mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.

Cache API Gateway REST API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="apigateway-5-remediation"></a>

Untuk mengonfigurasi cache API untuk suatu tahap, lihat [Mengaktifkan caching Amazon API Gateway di Panduan](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) *Pengembang API Gateway*. Di **Pengaturan Cache**, pilih **Enkripsi data cache**.

## [APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
<a name="apigateway-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, Nist.800-53.r5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Lindungi > Manajemen Akses Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Route`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  Jenis otorisasi rute API  |  Enum  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. `authorizationType`

API Gateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke API Anda. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses ke API hanya untuk pengguna atau proses yang berwenang.

### Remediasi
<a name="apigateway-8-remediation"></a>

Untuk menetapkan jenis otorisasi untuk HTTP APIs, lihat [Mengontrol dan mengelola akses ke API HTTP di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) *Panduan Pengembang API Gateway*. Untuk menetapkan jenis otorisasi WebSocket APIs, lihat [Mengontrol dan mengelola akses ke WebSocket API di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) *Panduan Pengembang API Gateway*.

## [APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
<a name="apigateway-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Stage`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.

Log akses API Gateway memberikan informasi terperinci tentang siapa yang telah mengakses API Anda dan bagaimana penelepon mengakses API. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.

Untuk praktik terbaik lainnya, lihat [Memantau REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) di *Panduan Pengembang API Gateway*.

### Remediasi
<a name="apigateway-9-remediation"></a>

Untuk menyiapkan pencatatan akses, lihat [Menyiapkan pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*. 

## [APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
<a name="apigateway-10"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ApiGatewayV2::Integration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah integrasi API Gateway V2 telah mengaktifkan HTTPS untuk koneksi pribadi. Kontrol gagal jika koneksi pribadi tidak memiliki TLS yang dikonfigurasi.

VPC Links menghubungkan API Gateway ke sumber daya pribadi. Sementara VPC Links membuat konektivitas pribadi, mereka tidak secara inheren mengenkripsi data. Mengkonfigurasi TLS memastikan penggunaan HTTPS untuk end-to-end enkripsi dari klien melalui API Gateway ke backend. Tanpa TLS, lalu lintas API sensitif mengalir tidak terenkripsi di seluruh koneksi pribadi. Enkripsi HTTPS melindungi lalu lintas melalui koneksi pribadi dari intersepsi data, man-in-the-middle serangan, dan paparan kredenal. 

### Remediasi
<a name="apigateway-10-remediation"></a>

Untuk mengaktifkan enkripsi saat transit untuk koneksi pribadi dalam Integrasi API Gateway v2, lihat [Memperbarui integrasi pribadi](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) di *Panduan Pengembang Amazon API Gateway*. Konfigurasikan [konfigurasi TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) sehingga integrasi pribadi menggunakan protokol HTTPS.

# Kontrol CSPM Security Hub untuk AWS AppConfig
<a name="appconfig-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS AppConfig layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppConfig.1] AWS AppConfig aplikasi harus diberi tag
<a name="appconfig-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::Application`

**AWS Config aturan:** `appconfig-application-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppConfig aplikasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika aplikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aplikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-1-remediation"></a>

Untuk menambahkan tag ke AWS AppConfig aplikasi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai
<a name="appconfig-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::ConfigurationProfile`

**AWS Config aturan:** `appconfig-configuration-profile-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah profil AWS AppConfig konfigurasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika profil konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-2-remediation"></a>

Untuk menambahkan tag ke profil AWS AppConfig konfigurasi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.3] AWS AppConfig lingkungan harus ditandai
<a name="appconfig-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::Environment`

**AWS Config aturan:** `appconfig-environment-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppConfig lingkungan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika lingkungan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lingkungan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-3-remediation"></a>

Untuk menambahkan tag ke AWS AppConfig lingkungan, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

## [AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai
<a name="appconfig-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppConfig::ExtensionAssociation`

**AWS Config aturan:** `appconfig-extension-association-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah asosiasi AWS AppConfig ekstensi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika asosiasi ekstensi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika asosiasi ekstensi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appconfig-4-remediation"></a>

Untuk menambahkan tag ke asosiasi AWS AppConfig ekstensi, lihat [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)di *Referensi AWS AppConfig API*.

# Kontrol CSPM Security Hub untuk Amazon AppFlow
<a name="appflow-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AppFlow layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppFlow.1] AppFlow Aliran Amazon harus ditandai
<a name="appflow-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppFlow::Flow`

**AWS Config aturan:** `appflow-flow-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AppFlow aliran Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika aliran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="appflow-1-remediation"></a>

Untuk menambahkan tag ke AppFlow alur Amazon, lihat [Membuat alur di Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) di *Panduan AppFlow Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk AWS App Runner
<a name="apprunner-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS App Runner layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppRunner.1] Layanan App Runner harus diberi tag
<a name="apprunner-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppRunner::Service`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS App Runner layanan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika layanan App Runner tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan App Runner tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="apprunner-1-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS App Runner layanan, lihat [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)di *Referensi AWS App Runner API*.

## [AppRunner.2] Konektor VPC App Runner harus diberi tag
<a name="apprunner-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppRunner::VpcConnector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konektor AWS App Runner VPC memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika konektor VPC tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konektor VPC tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="apprunner-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke konektor AWS App Runner VPC, lihat [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)di Referensi *AWS App Runner API*.

# Kontrol CSPM Security Hub untuk AWS AppSync
<a name="appsync-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS AppSync layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat
<a name="appsync-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada 9 Maret 2026. Untuk informasi lebih lanjut, lihat[Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan.

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cache AWS AppSync API dienkripsi saat istirahat. Kontrol gagal jika cache API tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="appsync-1-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi setelah mengaktifkan caching untuk API Anda AWS AppSync . Sebagai gantinya, Anda harus menghapus cache dan membuatnya kembali dengan enkripsi diaktifkan. Untuk informasi selengkapnya, lihat [Enkripsi cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) di *Panduan AWS AppSync Pengembang*.

## [AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
<a name="appsync-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  Tingkat pencatatan lapangan  |  Enum  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

Kontrol ini memeriksa apakah AWS AppSync API mengaktifkan logging tingkat bidang. **Kontrol gagal jika tingkat log penyelesai bidang diatur ke Tidak Ada.** Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat log penyelesai bidang adalah salah satu atau. `ERROR` `ALL`

Anda dapat menggunakan logging dan metrik untuk mengidentifikasi, memecahkan masalah, dan mengoptimalkan kueri GraphQL Anda. Mengaktifkan logging untuk AWS AppSync GraphQL membantu Anda mendapatkan informasi terperinci tentang permintaan dan tanggapan API, mengidentifikasi dan menanggapi masalah, dan mematuhi persyaratan peraturan.

### Remediasi
<a name="appsync-2-remediation"></a>

Untuk mengaktifkan pencatatan AWS AppSync, lihat [Pengaturan dan konfigurasi](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) di *Panduan AWS AppSync Pengembang*.

## [AppSync.4] AWS AppSync APIs GraphQL harus diberi tag
<a name="appsync-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan:** `tagged-appsync-graphqlapi` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS AppSync GraphQL API memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika GraphQL API tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika GraphQL API tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="appsync-4-remediation"></a>

*Untuk menambahkan tag ke AWS AppSync GraphQL API, [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)lihat di AWS AppSync Referensi API.*

## [AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API
<a name="appsync-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AppSync::GraphQLApi`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah aplikasi Anda menggunakan kunci API untuk berinteraksi dengan AWS AppSync GraphQL API. Kontrol gagal jika AWS AppSync GraphQL API diautentikasi dengan kunci API.

Kunci API adalah nilai hard-code dalam aplikasi Anda yang dihasilkan oleh AWS AppSync layanan saat Anda membuat titik akhir GraphQL yang tidak diautentikasi. Jika kunci API ini dikompromikan, titik akhir Anda rentan terhadap akses yang tidak diinginkan. Kecuali Anda mendukung aplikasi atau situs web yang dapat diakses publik, kami tidak menyarankan menggunakan kunci API untuk otentikasi.

### Remediasi
<a name="appsync-5-remediation"></a>

*Untuk menetapkan opsi otorisasi untuk AWS AppSync GraphQL API Anda, [lihat Otorisasi dan](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) otentikasi di Panduan Pengembang.AWS AppSync *

## [AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit
<a name="appsync-6"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada 9 Maret 2026. Untuk informasi lebih lanjut, lihat[Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). AWS AppSync sekarang menyediakan enkripsi default pada semua cache API saat ini dan masa depan.

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AppSync::ApiCache`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cache AWS AppSync API dienkripsi saat transit. Kontrol gagal jika cache API tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara cluster dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="appsync-6-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi setelah mengaktifkan caching untuk API Anda AWS AppSync . Sebagai gantinya, Anda harus menghapus cache dan membuatnya kembali dengan enkripsi diaktifkan. Untuk informasi selengkapnya, lihat [Enkripsi cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) di *Panduan AWS AppSync Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon Athena
<a name="athena-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Athena. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat
<a name="athena-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Kategori:** Lindungi > Perlindungan data > Enkripsi data saat istirahat

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah workgroup Athena dienkripsi saat istirahat. Kontrol gagal jika workgroup Athena tidak dienkripsi saat istirahat.

Di Athena, Anda dapat membuat grup kerja untuk menjalankan kueri untuk tim, aplikasi, atau beban kerja yang berbeda. Setiap workgroup memiliki pengaturan untuk mengaktifkan enkripsi pada semua query. Anda memiliki opsi untuk menggunakan enkripsi sisi server dengan kunci terkelola Amazon Simple Storage Service (Amazon S3), enkripsi sisi server dengan kunci AWS KMS(), atau enkripsi sisi klien AWS Key Management Service dengan kunci KMS yang dikelola pelanggan. Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="athena-1-remediation"></a>

*Untuk mengaktifkan enkripsi saat istirahat untuk grup kerja Athena, lihat [Mengedit grup kerja di Panduan Pengguna](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) Amazon Athena.* Di bagian **Konfigurasi Hasil Kueri**, pilih **Enkripsi hasil kueri**.

## [Athena.2] Katalog data Athena harus diberi tag
<a name="athena-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Athena::DataCatalog`

**AWS Config aturan:** `tagged-athena-datacatalog` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah katalog data Amazon Athena memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika katalog data tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika katalog data tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="athena-2-remediation"></a>

Untuk menambahkan tag ke katalog data Athena, lihat [Menandai sumber daya Athena di Panduan Pengguna Amazon *Athena*](https://docs.aws.amazon.com/athena/latest/ug/tags.html).

## [Athena.3] Kelompok kerja Athena harus ditandai
<a name="athena-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan:** `tagged-athena-workgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah workgroup Amazon Athena memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika workgroup tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika workgroup tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="athena-3-remediation"></a>

*Untuk menambahkan tag ke workgroup Athena, lihat [Menambahkan dan menghapus tag pada grup kerja individual di Panduan Pengguna](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) Amazon Athena.*

## [Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
<a name="athena-4"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Athena::WorkGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup kerja Amazon Athena telah mengaktifkan pencatatan. Kontrol gagal jika workgroup tidak mengaktifkan logging.

Log audit melacak dan memantau aktivitas sistem. Mereka menyediakan catatan peristiwa yang dapat membantu Anda mendeteksi pelanggaran keamanan, menyelidiki insiden, dan mematuhi peraturan. Log audit juga meningkatkan akuntabilitas dan transparansi organisasi Anda secara keseluruhan.

### Remediasi
<a name="athena-4-remediation"></a>

*Untuk informasi tentang mengaktifkan pencatatan untuk grup kerja Athena, [lihat CloudWatch Mengaktifkan metrik kueri di Athena di Panduan Pengguna Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html).*

# Kontrol CSPM Security Hub untuk AWS Backup
<a name="backup-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Backup layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat
<a name="backup-1"></a>

**Persyaratan terkait:** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Backup::RecoveryPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik AWS Backup pemulihan dienkripsi saat istirahat. Kontrol gagal jika titik pemulihan tidak dienkripsi saat istirahat.

Titik AWS Backup pemulihan mengacu pada salinan atau snapshot data tertentu yang dibuat sebagai bagian dari proses pencadangan. Ini merupakan momen tertentu dalam waktu ketika data dicadangkan dan berfungsi sebagai titik pemulihan jika data asli hilang, rusak, atau tidak dapat diakses. Mengenkripsi titik pemulihan cadangan menambahkan lapisan perlindungan ekstra terhadap akses yang tidak sah. Enkripsi adalah praktik terbaik untuk melindungi kerahasiaan, integritas, dan keamanan data cadangan.

### Remediasi
<a name="backup-1-remediation"></a>

*Untuk mengenkripsi titik AWS Backup pemulihan, lihat [Enkripsi untuk cadangan AWS Backup di Panduan Pengembang](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html).AWS Backup *

## [Backup.2] poin AWS Backup pemulihan harus ditandai
<a name="backup-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::RecoveryPoint`

**AWS Config aturan:** `tagged-backup-recoverypoint` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah titik AWS Backup pemulihan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-2-remediation"></a>

**Untuk menambahkan tag ke titik AWS Backup pemulihan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Rencana cadangan**.

1. Pilih paket cadangan dari daftar.

1. Di bagian **Tag paket Backup**, pilih **Kelola tag**.

1. Masukkan kunci dan nilai untuk tanda tersebut. Pilih **Tambahkan tag baru** untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.3] AWS Backup brankas harus ditandai
<a name="backup-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::BackupVault`

**AWS Config aturan:** `tagged-backup-backupvault` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Backup vault memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik pemulihan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik pemulihan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-3-remediation"></a>

**Untuk menambahkan tag ke AWS Backup brankas**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Masukkan kunci dan nilai untuk tanda tersebut. Pilih **Tambahkan tag baru** untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.4] rencana AWS Backup laporan harus ditandai
<a name="backup-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::ReportPlan`

**AWS Config aturan:** `tagged-backup-reportplan` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rencana AWS Backup laporan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika rencana laporan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rencana laporan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-4-remediation"></a>

**Untuk menambahkan tag ke rencana AWS Backup laporan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [Backup.5] rencana AWS Backup cadangan harus ditandai
<a name="backup-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Backup::BackupPlan`

**AWS Config aturan:** `tagged-backup-backupplan` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rencana AWS Backup cadangan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika paket cadangan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika paket cadangan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="backup-5-remediation"></a>

**Untuk menambahkan tag ke rencana AWS Backup cadangan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di panel navigasi, pilih **Brankas cadangan**.

1. Pilih brankas cadangan dari daftar.

1. Di bagian **Backup vault tags**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

# Kontrol CSPM Security Hub untuk AWS Batch
<a name="batch-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Batch layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Batch.1] Antrian pekerjaan batch harus ditandai
<a name="batch-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::JobQueue`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah antrian AWS Batch pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika antrian pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antrian pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-1-remediation"></a>

Untuk menambahkan tag ke antrean pekerjaan Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.2] Kebijakan penjadwalan batch harus ditandai
<a name="batch-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::SchedulingPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kebijakan AWS Batch penjadwalan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika kebijakan penjadwalan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan penjadwalan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-2-remediation"></a>

Untuk menambahkan tag ke kebijakan penjadwalan Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.3] Lingkungan komputasi Batch harus ditandai
<a name="batch-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::ComputeEnvironment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lingkungan AWS Batch komputasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika lingkungan komputasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lingkungan komputasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="batch-3-remediation"></a>

Untuk menambahkan tag ke lingkungan komputasi Batch, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *Panduan AWS Batch Pengguna*.

## [Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
<a name="batch-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Batch::ComputeEnvironment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah properti sumber daya komputasi di lingkungan AWS Batch komputasi terkelola memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika properti sumber daya komputasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika properti sumber daya komputasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol ini tidak mengevaluasi lingkungan komputasi yang tidak dikelola, atau lingkungan terkelola yang menggunakan AWS Fargate sumber daya.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="batch-4-remediation"></a>

Untuk informasi tentang menambahkan tag untuk menghitung sumber daya di lingkungan AWS Batch komputasi terkelola, lihat [Menandai sumber daya Anda](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) di *AWS Batch Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Certificate Manager
<a name="acm-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Certificate Manager (ACM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu
<a name="acm-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)**

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  Jumlah hari di mana sertifikat ACM harus diperpanjang  |  Bilangan Bulat  |  `14` untuk `365`  |  `30`  | 

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) diperbarui dalam jangka waktu yang ditentukan. Ini memeriksa sertifikat impor dan sertifikat yang disediakan oleh ACM. Kontrol gagal jika sertifikat tidak diperpanjang dalam jangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode perpanjangan, Security Hub CSPM menggunakan nilai default 30 hari.

ACM dapat secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. Untuk sertifikat yang menggunakan validasi email, Anda harus menanggapi email validasi domain. ACM tidak secara otomatis memperbarui sertifikat yang Anda impor. Anda harus memperbarui sertifikat yang diimpor secara manual.

### Remediasi
<a name="acm-1-remediation"></a>

ACM menyediakan perpanjangan terkelola untuk SSL/TLS sertifikat yang dikeluarkan oleh Amazon. Ini berarti bahwa ACM memperbarui sertifikat Anda secara otomatis (jika Anda menggunakan validasi DNS), atau mengirimi Anda pemberitahuan email ketika kedaluwarsa sertifikat mendekati. Layanan ini disediakan untuk sertifikat ACM publik dan swasta.

**Untuk domain yang divalidasi melalui email**  
Ketika sertifikat 45 hari dari kedaluwarsa, ACM mengirimkan email kepada pemilik domain untuk setiap nama domain. Untuk memvalidasi domain dan menyelesaikan pembaruan, Anda harus menanggapi pemberitahuan email.  
*Untuk informasi selengkapnya, lihat [Perpanjangan domain yang divalidasi melalui email di Panduan](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) Pengguna.AWS Certificate Manager *

**Untuk domain yang divalidasi oleh DNS**  
ACM secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. 60 hari sebelum kedaluwarsa, ACM memverifikasi bahwa sertifikat dapat diperpanjang.  
Jika tidak dapat memvalidasi nama domain, maka ACM mengirimkan pemberitahuan bahwa validasi manual diperlukan. Ini mengirimkan pemberitahuan ini 45 hari, 30 hari, 7 hari, dan 1 hari sebelum kedaluwarsa.  
*Untuk informasi selengkapnya, lihat [Perpanjangan domain yang divalidasi oleh DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) di Panduan Pengguna.AWS Certificate Manager *

## [ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
<a name="acm-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/4.2.1

**Kategori:** Identifikasi > Inventaris > Layanan inventaris

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sertifikat RSA dikelola dengan AWS Certificate Manager menggunakan panjang kunci minimal 2.048 bit. Kontrol gagal jika panjang kunci lebih kecil dari 2.048 bit.

Kekuatan enkripsi berkorelasi langsung dengan ukuran kunci. Kami merekomendasikan panjang kunci setidaknya 2.048 bit untuk melindungi AWS sumber daya Anda karena daya komputasi menjadi lebih murah dan server menjadi lebih maju.

### Remediasi
<a name="acm-2-remediation"></a>

Panjang kunci minimum untuk sertifikat RSA yang dikeluarkan oleh ACM sudah 2.048 bit. *Untuk petunjuk tentang menerbitkan sertifikat RSA baru dengan ACM, lihat [Menerbitkan dan mengelola sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) di Panduan Pengguna.AWS Certificate Manager *

Meskipun ACM memungkinkan Anda untuk mengimpor sertifikat dengan panjang kunci yang lebih pendek, Anda harus menggunakan kunci minimal 2.048 bit untuk melewati kontrol ini. Anda tidak dapat mengubah panjang kunci setelah mengimpor sertifikat. Sebagai gantinya, Anda harus menghapus sertifikat dengan panjang kunci lebih kecil dari 2.048 bit. *Untuk informasi selengkapnya tentang mengimpor sertifikat ke ACM, lihat [Prasyarat untuk mengimpor](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) sertifikat di Panduan Pengguna.AWS Certificate Manager *

## [ACM.3] Sertifikat ACM harus ditandai
<a name="acm-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACM::Certificate`

**AWS Config aturan:** `tagged-acm-certificate` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah sertifikat AWS Certificate Manager (ACM) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="acm-3-remediation"></a>

Untuk menambahkan tag ke sertifikat ACM, lihat [Menandai AWS Certificate Manager sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) di *AWS Certificate Manager Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk CloudFormation
<a name="cloudformation-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CloudFormation layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS)
<a name="cloudformation-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemberitahuan Amazon Simple Notification Service terintegrasi dengan CloudFormation tumpukan. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada pemberitahuan SNS yang terkait dengannya.

Mengonfigurasi notifikasi SNS dengan CloudFormation tumpukan Anda membantu segera memberi tahu pemangku kepentingan tentang peristiwa atau perubahan apa pun yang terjadi dengan tumpukan.

### Remediasi
<a name="cloudformation-1-remediation"></a>

Untuk mengintegrasikan CloudFormation tumpukan dan topik SNS, lihat [Memperbarui tumpukan secara langsung](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) di *AWS CloudFormation Panduan Pengguna*.

## [CloudFormation.2] CloudFormation tumpukan harus ditandai
<a name="cloudformation-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan:** `tagged-cloudformation-stack` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika tumpukan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tumpukan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudformation-2-remediation"></a>

Untuk menambahkan tag ke CloudFormation tumpukan, lihat [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)di *Referensi AWS CloudFormation API*.

## [CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
<a name="cloudformation-3"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki perlindungan terminasi yang diaktifkan. Kontrol gagal jika perlindungan terminasi tidak diaktifkan pada CloudFormation tumpukan.

CloudFormation membantu mengelola sumber daya terkait sebagai satu unit yang disebut Stack. Anda dapat mencegah tumpukan tidak sengaja dihapus dengan mengaktifkan perlindungan terminasi pada tumpukan. Jika pengguna mencoba untuk menghapus tumpukan dengan perlindungan terminasi diaktifkan, penghapusan gagal dan tumpukan, termasuk statusnya, tetap tidak berubah. Anda dapat mengatur perlindungan terminasi pada tumpukan dengan status apa pun kecuali `DELETE_IN_PROGRESS` atau`DELETE_COMPLETE`. 

**catatan**  
Mengaktifkan atau menonaktifkan perlindungan terminasi pada tumpukan meneruskan pilihan yang sama ke tumpukan bersarang milik tumpukan itu juga. Anda tidak dapat mengaktifkan atau menonaktifkan perlindungan terminasi secara langsung di tumpukan nest. Anda tidak dapat langsung menghapus tumpukan bersarang milik tumpukan yang memiliki perlindungan terminasi diaktifkan. Jika NESTED ditampilkan di sebelah nama tumpukan, tumpukan adalah tumpukan nest. Anda hanya dapat mengubah perlindungan terminasi pada tumpukan akar yang dimiliki tumpukan nest. 

### Remediasi
<a name="cloudformation-3-remediation"></a>

Untuk mengaktifkan perlindungan penghentian pada CloudFormation tumpukan, lihat [Melindungi CloudFormation tumpukan agar tidak dihapus](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) di *Panduan AWS CloudFormation Pengguna*.

## [CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
<a name="cloudformation-4"></a>

**Kategori:** Deteksi > Manajemen akses aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFormation::Stack`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudFormation tumpukan memiliki peran layanan yang terkait dengannya. Kontrol gagal untuk CloudFormation tumpukan jika tidak ada peran layanan yang terkait dengannya.

Peran eksekusi StackSets penggunaan yang dikelola layanan melalui integrasi akses terpercaya AWS Organizations. Kontrol juga menghasilkan temuan GAGAL untuk AWS CloudFormation tumpukan yang dibuat oleh service-managed StackSets karena tidak ada peran layanan yang terkait dengannya. Karena cara StackSets autentikasi yang dikelola layanan, `roleARN` bidang tidak dapat diisi untuk tumpukan ini.

Menggunakan peran layanan dengan CloudFormation tumpukan membantu menerapkan akses hak istimewa paling sedikit dengan memisahkan izin antara pengguna yang creates/updates menumpuk dan izin yang diperlukan oleh sumber daya. CloudFormation create/update Ini mengurangi risiko eskalasi hak istimewa dan membantu menjaga batas-batas keamanan antara peran operasional yang berbeda.

**catatan**  
Penghapusan peran layanan yang melekat pada tumpukan setelah tumpukan dibuat tidak dapat dilakukan. Pengguna lain yang memiliki izin untuk melakukan operasi pada tumpukan ini dapat menggunakan peran ini, terlepas dari apakah pengguna tersebut memiliki `iam:PassRole` izin atau tidak. Jika peran tersebut mencakup izin yang seharusnya tidak dimiliki pengguna, Anda dapat secara tidak sengaja meningkatkan izin pengguna. Pastikan peran memberikan keistimewaan paling rendah.

### Remediasi
<a name="cloudformation-4-remediation"></a>

Untuk mengaitkan peran layanan dengan CloudFormation tumpukan, lihat [peran CloudFormation layanan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) di *Panduan AWS CloudFormation Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon CloudFront
<a name="cloudfront-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi CloudFront layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
<a name="cloudfront-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan asal S3 dikonfigurasi untuk mengembalikan objek tertentu yang merupakan objek root default. Kontrol gagal jika CloudFront distribusi menggunakan asal S3 dan tidak memiliki objek root default yang dikonfigurasi. Kontrol ini tidak berlaku untuk CloudFront distribusi yang menggunakan custom origin.

Pengguna terkadang meminta URL root distribusi alih-alih objek dalam distribusi. Ketika ini terjadi, menentukan objek root default dapat membantu Anda menghindari mengekspos konten distribusi web Anda.

### Remediasi
<a name="cloudfront-1-remediation"></a>

Untuk mengonfigurasi objek root default untuk CloudFront distribusi, lihat [Cara menentukan objek root default](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
<a name="cloudfront-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengharuskan pemirsa untuk menggunakan HTTPS secara langsung atau menggunakan pengalihan. Kontrol gagal jika `ViewerProtocolPolicy` disetel ke `allow-all` untuk `defaultCacheBehavior` atau untuk`cacheBehaviors`.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

### Remediasi
<a name="cloudfront-3-remediation"></a>

Untuk mengenkripsi CloudFront distribusi saat transit, lihat [Memerlukan HTTPS untuk komunikasi antara pemirsa dan CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
<a name="cloudfront-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi dengan grup asal yang memiliki dua atau lebih asal.

CloudFront origin failover dapat meningkatkan ketersediaan. Origin failover secara otomatis mengalihkan lalu lintas ke asal sekunder jika asal primer tidak tersedia atau jika mengembalikan kode status respons HTTP tertentu.

### Remediasi
<a name="cloudfront-4-remediation"></a>

Untuk mengonfigurasi failover asal untuk CloudFront distribusi, lihat [Membuat grup asal](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
<a name="cloudfront-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan akses server diaktifkan pada CloudFront distribusi. Kontrol gagal jika pencatatan akses tidak diaktifkan untuk distribusi. Kontrol ini hanya mengevaluasi apakah pencatatan standar (lama) diaktifkan untuk distribusi.

CloudFront log akses memberikan informasi rinci tentang setiap permintaan pengguna yang CloudFront menerima. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Untuk informasi selengkapnya tentang menganalisis log akses, lihat [Kueri CloudFront log Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) di *Panduan Pengguna Amazon Athena*.

### Remediasi
<a name="cloudfront-5-remediation"></a>

Untuk mengonfigurasi pencatatan standar (lama) untuk CloudFront distribusi, lihat [Mengonfigurasi pencatatan standar (lama)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) di Panduan * CloudFront Pengembang Amazon*.

## [CloudFront.6] CloudFront distribusi harus mengaktifkan WAF
<a name="cloudfront-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi terkait dengan AWS WAF Classic atau AWS WAF web ACLs. Kontrol gagal jika distribusi tidak terkait dengan ACL web.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan CloudFront distribusi Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="cloudfront-6-remediation"></a>

Untuk mengaitkan ACL AWS WAF web dengan CloudFront distribusi, lihat [Menggunakan AWS WAF untuk mengontrol akses ke konten Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
<a name="cloudfront-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi menggunakan SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS sertifikat default.

 Kustom SSL/TLS memungkinkan pengguna Anda untuk mengakses konten dengan menggunakan nama domain alternatif. Anda dapat menyimpan sertifikat khusus di AWS Certificate Manager (disarankan), atau di IAM. 

### Remediasi
<a name="cloudfront-7-remediation"></a>

*Untuk menambahkan nama domain alternatif untuk CloudFront distribusi menggunakan sertifikat SSL/TLS kustom, lihat [Menambahkan nama domain alternatif di](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) Panduan Pengembang Amazon. CloudFront *

## [CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
<a name="cloudfront-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan SSL/TLS sertifikat kustom dan dikonfigurasi untuk menggunakan SNI untuk melayani permintaan HTTPS. Kontrol ini gagal jika SSL/TLS sertifikat khusus dikaitkan tetapi metode SSL/TLS dukungan adalah alamat IP khusus.

Indikasi Nama Server (Ser Server Name Indication atau SNI) adalah ekstensi untuk protokol TLS yang didukung oleh browser dan klien yang dirilis setelah tahun 2010. Jika Anda mengonfigurasi CloudFront untuk melayani permintaan HTTPS menggunakan SNI, CloudFront kaitkan nama domain alternatif Anda dengan alamat IP untuk setiap lokasi tepi. Saat penampil mengirimkan permintaan HTTPS untuk konten Anda, DNS mengirimkan permintaan ke alamat IP untuk lokasi tepi yang benar. Alamat IP ke nama domain Anda ditentukan selama negosiasi SSL/TLS jabat tangan; alamat IP tidak didedikasikan untuk distribusi Anda. 

### Remediasi
<a name="cloudfront-8-remediation"></a>

Untuk mengonfigurasi CloudFront distribusi agar menggunakan SNI untuk melayani permintaan HTTPS, lihat [Menggunakan SNI untuk Melayani Permintaan HTTPS (berfungsi untuk Sebagian Besar Klien)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) di Panduan CloudFront Pengembang. Untuk informasi tentang sertifikat SSL kustom, lihat [Persyaratan untuk menggunakan SSL/TLS sertifikat dengan CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).

## [CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
<a name="cloudfront-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengenkripsi lalu lintas ke asal kustom. Kontrol ini gagal untuk CloudFront distribusi yang kebijakan protokol asalnya memungkinkan 'hanya http'. Kontrol ini juga gagal jika kebijakan protokol asal distribusi adalah 'penampil pencocokan' sedangkan kebijakan protokol penampil adalah 'izinkan semua'.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyadapan atau manipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. 

### Remediasi
<a name="cloudfront-9-remediation"></a>

Untuk memperbarui Kebijakan Protokol Asal agar memerlukan enkripsi untuk CloudFront sambungan, lihat [Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus
<a name="cloudfront-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menggunakan protokol SSL yang tidak digunakan lagi untuk komunikasi HTTPS antara CloudFront lokasi tepi dan asal kustom Anda. Kontrol ini gagal jika CloudFront distribusi memiliki `CustomOriginConfig` where `OriginSslProtocols` include`SSLv3`.

Pada tahun 2015, Internet Engineering Task Force (IETF) secara resmi mengumumkan bahwa SSL 3.0 harus dihentikan karena protokol tidak cukup aman. Disarankan agar Anda menggunakan TLSv1 .2 atau yang lebih baru untuk komunikasi HTTPS ke asal kustom Anda. 

### Remediasi
<a name="cloudfront-10-remediation"></a>

Untuk memperbarui Protokol SSL Asal untuk CloudFront distribusi, lihat [Memerlukan HTTPS untuk komunikasi antara CloudFront dan asal kustom Anda di Panduan Pengembang](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) *Amazon CloudFront *.

## [CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
<a name="cloudfront-12"></a>

**Persyaratan terkait:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon menunjuk ke asal Amazon S3 yang tidak ada. Kontrol gagal untuk CloudFront distribusi jika asal dikonfigurasi untuk menunjuk ke bucket yang tidak ada. Kontrol ini hanya berlaku untuk CloudFront distribusi di mana bucket S3 tanpa hosting situs web statis adalah asal S3.

Ketika CloudFront distribusi di akun Anda dikonfigurasi untuk menunjuk ke bucket yang tidak ada, pihak ketiga yang jahat dapat membuat bucket yang direferensikan dan menyajikan konten mereka sendiri melalui distribusi Anda. Sebaiknya periksa semua asal terlepas dari perilaku perutean untuk memastikan bahwa distribusi Anda mengarah ke asal yang sesuai. 

### Remediasi
<a name="cloudfront-12-remediation"></a>

Untuk mengubah CloudFront distribusi agar mengarah ke asal baru, lihat [Memperbarui distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) di *Panduan CloudFront Pengembang Amazon*.

## [CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
<a name="cloudfront-13"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan asal Amazon S3 memiliki kontrol akses asal (OAC) yang dikonfigurasi. Kontrol gagal jika OAC tidak dikonfigurasi untuk CloudFront distribusi.

Saat menggunakan bucket S3 sebagai asal CloudFront distribusi Anda, Anda dapat mengaktifkan OAC. Ini memungkinkan akses ke konten dalam bucket hanya melalui CloudFront distribusi yang ditentukan, dan melarang akses langsung dari bucket atau distribusi lain. Meskipun CloudFront mendukung Origin Access Identity (OAI), OAC menawarkan fungsionalitas tambahan, dan distribusi menggunakan OAI dapat bermigrasi ke OAC. Meskipun OAI menyediakan cara aman untuk mengakses asal S3, ia memiliki keterbatasan, seperti kurangnya dukungan untuk konfigurasi kebijakan granular dan untuk HTTP/HTTPS permintaan yang menggunakan metode POST Wilayah AWS yang memerlukan AWS Signature Version 4 (SigV4). OAI juga tidak mendukung enkripsi dengan AWS Key Management Service. OAC didasarkan pada praktik AWS terbaik menggunakan prinsip layanan IAM untuk mengautentikasi dengan asal-usul S3. 

### Remediasi
<a name="cloudfront-13-remediation"></a>

*Untuk mengonfigurasi OAC untuk CloudFront distribusi dengan asal S3, lihat [Membatasi akses ke asal Amazon S3 di](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) Panduan Pengembang Amazon. CloudFront *

## [CloudFront.14] CloudFront distribusi harus ditandai
<a name="cloudfront-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan:** `tagged-cloudfront-distribution` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah CloudFront distribusi Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika distribusi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika distribusi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudfront-14-remediation"></a>

Untuk menambahkan tag ke CloudFront distribusi, lihat [Menandai CloudFront distribusi Amazon di Panduan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) *Pengembang Amazon*.

## [CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
<a name="cloudfront-15"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan. Kontrol gagal jika CloudFront distribusi tidak dikonfigurasi untuk menggunakan kebijakan keamanan TLS yang direkomendasikan.

Jika Anda mengonfigurasi CloudFront distribusi Amazon agar pemirsa menggunakan HTTPS untuk mengakses konten, Anda harus memilih kebijakan keamanan dan menentukan versi SSL/TLS protokol minimum yang akan digunakan. Ini menentukan versi protokol mana yang CloudFront digunakan untuk berkomunikasi dengan pemirsa, dan sandi yang CloudFront digunakan untuk mengenkripsi komunikasi. Sebaiknya gunakan kebijakan keamanan terbaru yang CloudFront menyediakan. Ini memastikan bahwa CloudFront menggunakan cipher suite terbaru untuk mengenkripsi data dalam perjalanan antara penampil dan distribusi. CloudFront

**catatan**  
Kontrol ini menghasilkan temuan hanya untuk CloudFront distribusi yang dikonfigurasi untuk menggunakan sertifikat SSL khusus dan tidak dikonfigurasi untuk mendukung klien lama.

### Remediasi
<a name="cloudfront-15-remediation"></a>

Untuk informasi tentang mengonfigurasi kebijakan keamanan untuk CloudFront distribusi, lihat [Memperbarui distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) di *Panduan CloudFront Pengembang Amazon*. Saat Anda mengonfigurasi kebijakan keamanan untuk distribusi, pilih kebijakan keamanan terbaru.

## [CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda
<a name="cloudfront-16"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dengan URL AWS Lambda fungsi sebagai asal mengaktifkan kontrol akses asal (OAC). Kontrol gagal jika CloudFront distribusi memiliki URL fungsi Lambda sebagai asal dan OAC tidak diaktifkan.

URL AWS Lambda fungsi adalah titik akhir HTTPS khusus untuk fungsi Lambda. Jika URL fungsi Lambda adalah asal untuk CloudFront distribusi, URL fungsi harus dapat diakses publik. Oleh karena itu, sebagai praktik terbaik keamanan, Anda harus membuat OAC dan menambahkannya ke URL fungsi Lambda dalam distribusi. OAC menggunakan prinsip layanan IAM untuk mengautentikasi permintaan antara dan URL fungsi. CloudFront Ini juga mendukung penggunaan kebijakan berbasis sumber daya untuk memungkinkan pemanggilan fungsi hanya jika permintaan atas nama distribusi yang ditentukan dalam kebijakan. CloudFront 

### Remediasi
<a name="cloudfront-16-remediation"></a>

*Untuk informasi tentang mengonfigurasi OAC untuk CloudFront distribusi Amazon yang menggunakan URL fungsi Lambda sebagai asal, lihat [Membatasi akses ke asal URL AWS Lambda fungsi di Panduan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Pengembang Amazon. CloudFront *

## [CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie
<a name="cloudfront-17"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudFront::Distribution`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menggunakan grup kunci tepercaya untuk URL yang ditandatangani atau otentikasi cookie yang ditandatangani. Kontrol gagal jika CloudFront distribusi menggunakan penandatangan tepercaya, atau jika distribusi tidak memiliki otentikasi yang dikonfigurasi.

Untuk menggunakan cookie yang ditandatangani URLs atau ditandatangani, Anda memerlukan penandatangan. Penandatangan adalah grup kunci tepercaya yang Anda buat CloudFront, atau AWS akun yang berisi CloudFront key pair. Kami menyarankan Anda menggunakan grup kunci tepercaya karena dengan grup CloudFront kunci, Anda tidak perlu menggunakan pengguna root AWS akun untuk mengelola kunci publik untuk cookie yang CloudFront ditandatangani URLs dan ditandatangani.

**catatan**  
Kontrol ini tidak mengevaluasi distribusi multi-penyewa. CloudFront `(connectionMode=tenant-only)`

### Remediasi
<a name="cloudfront-17-remediation"></a>

Untuk informasi tentang menggunakan grup kunci tepercaya dengan tanda tangan URLs dan cookie, lihat [Menggunakan grup kunci tepercaya](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) di *Panduan CloudFront Pengembang Amazon*.

# Kontrol CSPM Security Hub untuk AWS CloudTrail
<a name="cloudtrail-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS CloudTrail layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis
<a name="cloudtrail-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.1, Tolok Ukur AWS Yayasan CIS v1.2.0/2.1, Tolok Ukur Yayasan CIS v1.4.0/3.1, Tolok Ukur AWS Yayasan CIS v3.0.0/3.1, (4), (26 AWS ), (9),, (9), (22) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `readWriteType`: `ALL` (tidak dapat disesuaikan)

  `includeManagementEvents`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah ada setidaknya satu AWS CloudTrail jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. Kontrol gagal jika CloudTrail dinonaktifkan atau jika tidak ada setidaknya satu CloudTrail jejak yang menangkap peristiwa manajemen baca dan tulis.

AWS CloudTrail merekam panggilan AWS API untuk akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup informasi berikut:
+ Identitas pemanggil API
+ Waktu panggilan API
+ Alamat IP sumber pemanggil API
+ Permintaan parameter
+ Elemen respons yang dikembalikan oleh Layanan AWS

CloudTrail menyediakan riwayat panggilan AWS API untuk akun, termasuk panggilan API yang dibuat dari Konsol Manajemen AWS, AWS SDKs, alat baris perintah. Riwayat ini juga mencakup panggilan API dari tingkat yang lebih tinggi Layanan AWS seperti. AWS CloudFormation

Riwayat panggilan AWS API yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. Jalur Multi-Region juga memberikan manfaat berikut.
+ Jejak multi-wilayah membantu mendeteksi aktivitas tak terduga yang terjadi di Wilayah yang tidak digunakan.
+ Jejak multi-wilayah memastikan bahwa pencatatan peristiwa layanan global diaktifkan untuk jejak secara default. Pencatatan peristiwa layanan global mencatat peristiwa yang dihasilkan oleh layanan AWS global.
+ Untuk jejak Multi-wilayah, acara manajemen untuk semua operasi baca dan tulis memastikan bahwa operasi manajemen CloudTrail catatan pada semua sumber daya dalam file Akun AWS.

Secara default, CloudTrail jalur yang dibuat menggunakan jalur Multi-wilayah. Konsol Manajemen AWS 

### Remediasi
<a name="cloudtrail-1-remediation"></a>

Untuk membuat jejak Multi-wilayah baru CloudTrail, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Pengaturan tambahan, Validasi file log  |  Diaktifkan  | 
|  Pilih peristiwa log, Acara manajemen, aktivitas API  |  **Baca** dan **Tulis**. Kosongkan kotak centang untuk pengecualian.  | 

Untuk memperbarui jejak yang ada, lihat [Memperbarui jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) di *Panduan AWS CloudTrail Pengguna*. Di **acara Manajemen**, untuk **aktivitas API**, pilih **Baca** dan **Tulis**.

## [CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat
<a name="cloudtrail-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.5, Tolok Ukur Yayasan CIS v1.2.0/2.7, Tolok Ukur AWS Yayasan CIS v1.4.0/3.7, Tolok Ukur AWS Yayasan CIS v3.0.0/3.5, (1), 3, 8, 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6), Nist.800-171.r2 NIST.800-53.r5 SC-2 3.3.8, PCI DSS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 v3.2.1/3.4, PCI DSS v4.0.1/10.3.2 AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudTrail dikonfigurasi untuk menggunakan enkripsi server-side encryption (SSE). AWS KMS key Kontrol gagal jika `KmsKeyId` tidak ditentukan.

Untuk lapisan keamanan tambahan untuk file CloudTrail log sensitif Anda, Anda harus menggunakan [enkripsi sisi server dengan AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) untuk file CloudTrail log Anda untuk enkripsi saat istirahat. Perhatikan bahwa secara default, file log yang dikirimkan CloudTrail ke bucket Anda dienkripsi oleh enkripsi [sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)). 

### Remediasi
<a name="cloudtrail-2-remediation"></a>

*Untuk mengaktifkan enkripsi SSE-KMS untuk file CloudTrail log, lihat [Memperbarui jejak untuk menggunakan kunci KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) di Panduan Pengguna.AWS CloudTrail *

## [CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan
<a name="cloudtrail-3"></a>

**Persyaratan terkait:** Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.3 2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS CloudTrail jejak diaktifkan di Anda Akun AWS. Kontrol gagal jika akun Anda tidak memiliki setidaknya satu CloudTrail jejak yang diaktifkan.

Namun, beberapa AWS layanan tidak mengaktifkan pencatatan semua APIs dan peristiwa. Anda harus menerapkan jejak audit tambahan selain CloudTrail dan meninjau dokumentasi untuk setiap layanan di [Layanan dan Integrasi yang CloudTrail Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).

### Remediasi
<a name="cloudtrail-3-remediation"></a>

Untuk memulai CloudTrail dan membuat jejak, lihat [AWS CloudTrail tutorial Memulai dengan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) di *Panduan AWS CloudTrail Pengguna*.

## [CloudTrail.4] validasi file CloudTrail log harus diaktifkan
<a name="cloudtrail-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.2, Tolok Ukur Yayasan CIS v1.2.0/2.2, Tolok Ukur Yayasan CIS v1.4.0/3.2, Tolok Ukur AWS Yayasan CIS v3.0.0/3.2, NIST.800-53.R5 AU-9, NIST.800-53.R5 SI-4, NIST.800-53.r5 SI-7 (1), Nist.800-53.r5 7 (3), NIST.800-53.R5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2 AWS AWS 

**Kategori:** Perlindungan data > Integritas data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah validasi integritas file log diaktifkan pada CloudTrail jejak.

CloudTrail validasi file log membuat file digest yang ditandatangani secara digital yang berisi hash dari setiap log yang menulis ke CloudTrail Amazon S3. Anda dapat menggunakan file intisari ini untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan log.

Security Hub CSPM merekomendasikan agar Anda mengaktifkan validasi file di semua jalur. Validasi file log memberikan pemeriksaan integritas tambahan CloudTrail log.

### Remediasi
<a name="cloudtrail-4-remediation"></a>

*Untuk mengaktifkan validasi file CloudTrail log, lihat [Mengaktifkan validasi integritas file log CloudTrail di Panduan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) Pengguna.AWS CloudTrail *

## [CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch
<a name="cloudtrail-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, Tolok Ukur Yayasan CIS v1.2.0/2.4, Tolok Ukur AWS Yayasan CIS v1.4.0/3.4, (4), (26), (9),, (9), Nist.800-53.r5 SI-20, Nist.800-53.r5 SI-3 (8), Nist.800-53.r5 SI-3 (8), Nist.800-53.r5 SI-3 NIST.800-53.r5 AC-2 (8) .800-53.R5 SI-4 NIST.800-53.r5 AC-4 (20), NIST.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (5) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8) AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudTrail jejak dikonfigurasi untuk mengirim log ke CloudWatch Log. Kontrol gagal jika `CloudWatchLogsLogGroupArn` properti jejak kosong.

CloudTrail merekam panggilan AWS API yang dibuat di akun tertentu. Informasi yang direkam meliputi yang berikut:
+ Identitas pemanggil API
+ Waktu panggilan API
+ Alamat IP sumber pemanggil API
+ Parameter permintaan
+ Elemen respons yang dikembalikan oleh Layanan AWS

CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat menangkap CloudTrail log dalam bucket S3 tertentu untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Log.

Untuk jejak yang diaktifkan di semua Wilayah dalam akun, CloudTrail kirimkan file log dari semua Wilayah tersebut ke grup CloudWatch log Log.

Security Hub CSPM merekomendasikan agar Anda mengirim CloudTrail log ke CloudWatch Log. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan bahwa aktivitas akun ditangkap, dipantau, dan diwaspadai dengan tepat. Anda dapat menggunakan CloudWatch Log untuk mengatur ini dengan Anda Layanan AWS. Rekomendasi ini tidak menghalangi penggunaan solusi yang berbeda.

Mengirim CloudTrail CloudWatch log ke Log memfasilitasi pencatatan aktivitas real-time dan historis berdasarkan pengguna, API, sumber daya, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk membuat alarm dan pemberitahuan untuk aktivitas akun anomali atau sensitivitas.

### Remediasi
<a name="cloudtrail-5-remediation"></a>

Untuk mengintegrasikan CloudTrail dengan CloudWatch Log, lihat [Mengirim peristiwa ke CloudWatch Log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) di *Panduan AWS CloudTrail Pengguna*.

## [CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik
<a name="cloudtrail-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/2.3, Tolok Ukur Yayasan CIS v1.4.0/3.3, PCI DSS AWS v4.0.1/1.4.4

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

CloudTrail mencatat catatan setiap panggilan API yang dilakukan di akun Anda. File log ini disimpan dalam ember S3. CIS merekomendasikan agar kebijakan bucket S3, atau daftar kontrol akses (ACL), diterapkan pada bucket S3 yang CloudTrail mencatat untuk mencegah akses publik ke log. CloudTrail Mengizinkan akses publik ke konten CloudTrail log dapat membantu musuh dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM terlebih dahulu menggunakan logika kustom untuk mencari bucket S3 tempat CloudTrail log Anda disimpan. Kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah bucket dapat diakses publik.

Jika Anda menggabungkan log Anda ke dalam satu bucket S3 terpusat, maka Security Hub CSPM hanya menjalankan pemeriksaan terhadap akun dan Wilayah tempat bucket S3 terpusat berada. Untuk akun dan Wilayah lain, status kontrolnya adalah **Tidak ada data**.

Jika bucket dapat diakses publik, cek akan menghasilkan temuan yang gagal.

### Remediasi
<a name="cloudtrail-6-remediation"></a>

Untuk memblokir akses publik ke bucket CloudTrail S3, lihat [Mengonfigurasi blokir setelan akses publik untuk bucket S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Layanan *Penyimpanan Sederhana Amazon*. Pilih keempat Pengaturan Akses Publik Blok Amazon S3.

## [CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
<a name="cloudtrail-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/2.6, Tolok Ukur Yayasan CIS v1.4.0/3.6, Tolok Ukur AWS Yayasan CIS v3.0.0/3.4, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Pencatatan akses bucket S3 menghasilkan log yang berisi catatan akses untuk setiap permintaan yang dibuat ke bucket S3 Anda. Catatan log akses berisi rincian tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan berfungsi, dan waktu dan tanggal permintaan diproses.

CIS menyarankan agar Anda mengaktifkan pencatatan akses bucket pada bucket CloudTrail S3.

Dengan mengaktifkan pencatatan bucket S3 pada bucket S3 target, Anda dapat menangkap semua peristiwa yang mungkin memengaruhi objek dalam bucket target. Mengkonfigurasi log untuk ditempatkan di bucket terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja keamanan dan respons insiden.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM pertama-tama menggunakan logika kustom untuk mencari bucket tempat CloudTrail log Anda disimpan dan kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah logging diaktifkan.

Jika CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu bucket Amazon S3 tujuan, Security Hub CSPM mengevaluasi kontrol ini hanya terhadap bucket tujuan di Wilayah tempatnya berada. Ini merampingkan temuan Anda. Namun, Anda harus mengaktifkan CloudTrail semua akun yang mengirimkan log ke bucket tujuan. Untuk semua akun kecuali akun yang menyimpan bucket tujuan, status kontrolnya adalah **Tidak ada data**.

### Remediasi
<a name="cloudtrail-7-remediation"></a>

Untuk mengaktifkan pencatatan akses server untuk bucket CloudTrail S3 Anda, lihat [Mengaktifkan log akses server Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) Pengguna Layanan *Penyimpanan Sederhana Amazon*.

## [CloudTrail.9] CloudTrail jejak harus ditandai
<a name="cloudtrail-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CloudTrail::Trail`

**AWS Config aturan:** `tagged-cloudtrail-trail` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS CloudTrail jejak memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika jejak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jejak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="cloudtrail-9-remediation"></a>

Untuk menambahkan tag ke CloudTrail jejak, lihat [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)di *Referensi AWS CloudTrail API*.

## [CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
<a name="cloudtrail-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CloudTrail::EventDataStore`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika penyimpanan data peristiwa tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 3 item)  |  1—3 kunci ARNs KMS yang ada. Sebagai contoh: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah penyimpanan data acara AWS CloudTrail Lake dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika penyimpanan data peristiwa tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Secara default, AWS CloudTrail Lake mengenkripsi penyimpanan data peristiwa dengan kunci terkelola Amazon S3 (SSE-S3), menggunakan algoritma AES-256. Untuk kontrol tambahan, Anda dapat mengonfigurasi CloudTrail Lake untuk mengenkripsi penyimpanan data peristiwa dengan pelanggan yang dikelola AWS KMS key (SSE-KMS) sebagai gantinya. Kunci KMS yang dikelola pelanggan adalah kunci AWS KMS key yang Anda buat, miliki, dan kelola di Anda Akun AWS. Anda memiliki kontrol penuh atas jenis kunci KMS ini. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci. Anda dapat menggunakan kunci KMS yang dikelola pelanggan dalam operasi kriptografi untuk CloudTrail data Anda dan penggunaan audit dengan CloudTrail log.

### Remediasi
<a name="cloudtrail-10-remediation"></a>

Untuk informasi tentang mengenkripsi penyimpanan data peristiwa AWS CloudTrail Lake dengan AWS KMS key yang Anda tentukan, lihat [Memperbarui penyimpanan data peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) di *AWS CloudTrail Panduan Pengguna*. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah.

# Kontrol CSPM Security Hub untuk Amazon CloudWatch
<a name="cloudwatch-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
<a name="cloudwatch-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.1, Tolok Ukur Yayasan CIS v1.2.0/3.3, Tolok Ukur Yayasan CIS v1.4.0/1.7, Tolok Ukur AWS Yayasan CIS v1.4.0/4.3, Nist.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS 

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam file Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk [melakukan tugas manajemen akun dan layanan](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Terapkan kebijakan AWS Identity and Access Management (IAM) secara langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat [Membuat pengguna dan grup admin IAM pertama Anda di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-1-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah
<a name="cloudwatch-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.1, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-2-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
<a name="cloudwatch-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi oleh MFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-3-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM
<a name="cloudwatch-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.4, Tolok Ukur Yayasan CIS v1.4.0/4.4, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada kebijakan IAM. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-4-remediation"></a>

**catatan**  
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API IAM.

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi
<a name="cloudwatch-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.5, Tolok Ukur Yayasan CIS v1.4.0/4.5, Nist.800-171.r2 3.3.8, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-5-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi
<a name="cloudwatch-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.6, Tolok Ukur Yayasan CIS v1.4.0/4.6, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-6-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan
<a name="cloudwatch-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.7, Tolok Ukur Yayasan CIS v1.4.0/4.7, Nist.800-171.r2 3.13.10, Nist.800-171.r2 3.13.16, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi penghapusan dinonaktifkan atau terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik. Kontrol juga gagal jika `ExcludeManagementEventSources` berisi`kms.amazonaws.com`.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-7-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
<a name="cloudwatch-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.8, Tolok Ukur Yayasan CIS v1.4.0/4.8, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-8-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi
<a name="cloudwatch-9"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.9, Tolok Ukur Yayasan CIS v1.4.0/4.9, Nist.800-171.r2 3.3.8, Nist.800-171.r2 AWS 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan AWS Config konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-9-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
<a name="cloudwatch-10"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.10, Tolok Ukur Yayasan CIS v1.4.0/4.10, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar di VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-10-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)
<a name="cloudwatch-11"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.11, Tolok Ukur Yayasan CIS v1.4.0/4.11, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLs digunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet dalam VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk NACLs perubahan. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja. 

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-11-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan
<a name="cloudwatch-12"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.12, Tolok Ukur Yayasan CIS v1.4.0/4.12, Nist.800-171.r2 3.3.1, AWS Nist.800-171.r2 3.13.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi perbatasan VPC melalui jalur yang terkendali.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-12-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
<a name="cloudwatch-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.13, Tolok Ukur Yayasan CIS v1.4.0/4.13, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-13-remediation"></a>

**catatan**  
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API Amazon Elastic Compute Cloud (EC2).

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
<a name="cloudwatch-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.14, Tolok Ukur Yayasan CIS v1.4.0/4.14, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC di akun, dan Anda dapat membuat koneksi peer antara dua VPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk VPCs perubahan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

**catatan**  
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.  
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:  
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:  
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.  
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.

### Remediasi
<a name="cloudwatch-14-remediation"></a>

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.

   Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
<a name="cloudwatch-15"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, Nist.800-53.R5 IR-4 (1), Nist.800-53.R5 IR-4 (5), Nist.800-53.R5 SI-2, Nist.800-53.r5 SI-20, Nist.800-53.R5 SI-4 (12), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 00-171.r2 3.3.4, Nist.800-171.r2 3.14.6

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudWatch::Alarm`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`ALARM`.  |  Boolean  |  Tidak dapat disesuaikan  |  `true`  | 
|  `insufficientDataActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`INSUFFICIENT_DATA`.  |  Boolean  |  `true` atau `false`  |  `false`  | 
|  `okActionRequired`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`OK`.  |  Boolean  |  `true` atau `false`  |  `false`  | 

Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk `ALARM` status. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk `ALARM` status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk `OK` status `INSUFFICIENT_DATA` atau.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:  
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.

Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan [CloudWatch.17](#cloudwatch-17) berfokus pada status aktivasi tindakan CloudWatch alarm.

Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau beberapa pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (Amazon SNS).

### Remediasi
<a name="cloudwatch-15-remediation"></a>

Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.

## [CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
<a name="cloudwatch-16"></a>

**Kategori:** Identifikasi > Logging

**Persyaratan terkait:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Logs::LogGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log  |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub CSPM menggunakan nilai default 365 hari.

CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), Amazon Route 53 AWS CloudTrail, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.

### Remediasi
<a name="cloudwatch-16-remediation"></a>

Untuk mengonfigurasi setelan penyimpanan [log, lihat Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) di *Panduan CloudWatch Pengguna Amazon*.

## [CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan
<a name="cloudwatch-17"></a>

**Kategori:** Deteksi > Layanan deteksi

**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CloudWatch::Alarm`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (`ActionEnabled`harus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:  
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.

Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan [CloudWatch.15](#cloudwatch-15) berfokus pada apakah `ALARM` tindakan apa pun dikonfigurasi dalam CloudWatch alarm.

Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.

### Remediasi
<a name="cloudwatch-17-remediation"></a>

**Untuk mengaktifkan aksi CloudWatch alarm (konsol)**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Alarm, pilih **Semua** alarm**.

1. Pilih alarm yang ingin Anda aktifkan tindakan.

1. **Untuk **Tindakan**, pilih **Tindakan alarm — baru, lalu pilih Aktifkan**.**

Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk CodeArtifact
<a name="codeartifact-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CodeArtifact layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeArtifact.1] CodeArtifact repositori harus diberi tag
<a name="codeartifact-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeArtifact::Repository`

**AWS Config aturan:** `tagged-codeartifact-repository` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS CodeArtifact repositori memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika repositori tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika repositori tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="codeartifact-1-remediation"></a>

*Untuk menambahkan tag ke CodeArtifact repositori, lihat [Tag repositori CodeArtifact di Panduan Pengguna](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html).AWS CodeArtifact *

# Kontrol CSPM Security Hub untuk CodeBuild
<a name="codebuild-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS CodeBuild layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
<a name="codebuild-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 SA-3, PCI DSS v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah URL repositori sumber Bitbucket AWS CodeBuild proyek berisi token akses pribadi atau nama pengguna dan kata sandi. Kontrol gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan kata sandi.

**catatan**  
Kontrol ini mengevaluasi sumber primer dan sumber sekunder dari proyek CodeBuild pembangunan. Untuk informasi selengkapnya tentang sumber proyek, lihat [Beberapa sumber input dan sampel artefak keluaran](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) di *Panduan AWS CodeBuild Pengguna*.

Kredensi login tidak boleh disimpan atau ditransmisikan dalam teks yang jelas atau muncul di URL repositori sumber. Alih-alih token akses pribadi atau kredensi masuk, Anda harus mengakses penyedia sumber Anda CodeBuild, dan mengubah URL repositori sumber Anda agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensi masuk dapat mengakibatkan paparan data yang tidak diinginkan atau akses yang tidak sah.

### Remediasi
<a name="codebuild-1-remediation"></a>

Anda dapat memperbarui CodeBuild proyek Anda untuk digunakan OAuth.

**Untuk menghapus otentikasi dasar/(GitHub) Token Akses Pribadi dari sumber CodeBuild proyek**

1. Buka CodeBuild konsol di [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).

1. Pilih proyek build yang berisi token akses pribadi atau nama pengguna dan kata sandi.

1. Dari **Edit**, pilih **Sumber**.

1. Pilih **Putuskan sambungan GitHub dari/Bitbucket**.

1. Pilih **Connect menggunakan OAuth**, lalu pilih **Connect to GitHub/Bitbucket**.

1. Saat diminta, pilih **otorisasi yang sesuai**.

1. Konfigurasikan ulang URL repositori Anda dan pengaturan konfigurasi tambahan, sesuai kebutuhan.

1. Pilih **Perbarui sumber**.

Untuk informasi selengkapnya, lihat [CodeBuild menggunakan sampel berbasis kasus](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) di *AWS CodeBuild Panduan Pengguna*.

## [CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
<a name="codebuild-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 IA-5 (7),, PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah proyek berisi variabel lingkungan `AWS_ACCESS_KEY_ID` dan`AWS_SECRET_ACCESS_KEY`.

Kredensi otentikasi `AWS_ACCESS_KEY_ID` dan tidak `AWS_SECRET_ACCESS_KEY` boleh disimpan dalam teks yang jelas, karena ini dapat menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.

### Remediasi
<a name="codebuild-2-remediation"></a>

Untuk menghapus variabel lingkungan dari CodeBuild proyek, lihat [Mengubah setelan proyek build AWS CodeBuild di](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Panduan AWS CodeBuild Pengguna*. Pastikan tidak ada yang dipilih untuk **variabel Lingkungan**.

Anda dapat menyimpan variabel lingkungan dengan nilai sensitif di AWS Systems Manager Parameter Store atau AWS Secrets Manager kemudian mengambilnya dari spesifikasi build Anda. Untuk petunjuk, lihat kotak berlabel **Penting** di [bagian Lingkungan](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) di *Panduan AWS CodeBuild Pengguna*.

## [CodeBuild.3] Log CodeBuild S3 harus dienkripsi
<a name="codebuild-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah log Amazon S3 untuk AWS CodeBuild proyek dienkripsi. Kontrol gagal jika enkripsi dinonaktifkan untuk log S3 untuk sebuah CodeBuild proyek.

Enkripsi data saat istirahat adalah praktik terbaik yang disarankan untuk menambahkan lapisan manajemen akses di sekitar data Anda. Mengenkripsi log saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi oleh AWS akan mengakses data yang disimpan pada disk. Ini menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. 

### Remediasi
<a name="codebuild-3-remediation"></a>

Untuk mengubah setelan enkripsi log S3 CodeBuild proyek, lihat [Mengubah setelan proyek build AWS CodeBuild di](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Panduan AWS CodeBuild Pengguna*.

## [CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config
<a name="codebuild-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-4, Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah lingkungan CodeBuild proyek memiliki setidaknya satu opsi log, baik untuk S3 atau CloudWatch log diaktifkan. Kontrol ini gagal jika lingkungan CodeBuild proyek tidak memiliki setidaknya satu opsi log diaktifkan. 

Dari perspektif keamanan, logging adalah fitur penting untuk memungkinkan upaya forensik masa depan dalam kasus insiden keamanan apa pun. Mengkorelasikan anomali dalam CodeBuild proyek dengan deteksi ancaman dapat meningkatkan kepercayaan pada keakuratan deteksi ancaman tersebut.

### Remediasi
<a name="codebuild-4-remediation"></a>

Untuk informasi selengkapnya tentang cara mengonfigurasi setelan log CodeBuild proyek, lihat [Membuat proyek build (konsol)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) di Panduan CodeBuild Pengguna.

## [CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa
<a name="codebuild-5"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategori:** Lindungi > Manajemen Akses Aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::CodeBuild::Project`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah lingkungan AWS CodeBuild proyek memiliki mode istimewa yang diaktifkan atau dinonaktifkan. Kontrol gagal jika lingkungan CodeBuild proyek memiliki mode istimewa yang diaktifkan.

Secara default, kontainer Docker tidak mengizinkan akses ke perangkat apa pun. Mode istimewa memberikan akses container Docker proyek build ke semua perangkat. Pengaturan `privilegedMode` dengan nilai `true` memungkinkan daemon Docker berjalan di dalam wadah Docker. Daemon Docker mendengarkan permintaan API Docker dan mengelola objek Docker seperti gambar, wadah, jaringan, dan volume. Parameter ini hanya boleh disetel ke true jika proyek build digunakan untuk membangun image Docker. Jika tidak, pengaturan ini harus dinonaktifkan untuk mencegah akses yang tidak diinginkan ke Docker APIs serta perangkat keras yang mendasarinya. Pengaturan `privilegedMode` untuk `false` membantu melindungi sumber daya penting dari gangguan dan penghapusan.

### Remediasi
<a name="codebuild-5-remediation"></a>

Untuk mengonfigurasi pengaturan lingkungan CodeBuild proyek, lihat [Membuat proyek build (konsol)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) di *Panduan CodeBuild Pengguna*. Di bagian **Lingkungan**, jangan pilih pengaturan **Privileged**.

## [CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
<a name="codebuild-7"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::CodeBuild::ReportGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah hasil pengujian grup AWS CodeBuild laporan yang diekspor ke bucket Amazon Simple Storage Service (Amazon S3) dienkripsi saat istirahat. Kontrol gagal jika ekspor grup laporan tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="codebuild-7-remediation"></a>

Untuk mengenkripsi ekspor grup laporan ke S3, lihat [Memperbarui grup laporan](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) di *AWS CodeBuild Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon Profiler CodeGuru
<a name="codeguruprofiler-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon CodeGuru Profiler.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag
<a name="codeguruprofiler-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config aturan:** `codeguruprofiler-profiling-group-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup CodeGuru profil Amazon Profiler memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika grup profil tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup profil tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="codeguruprofiler-1-remediation"></a>

Untuk menambahkan tag ke grup CodeGuru profil Profiler, lihat [Menandai grup profil di](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) Panduan Pengguna *Amazon CodeGuru * Profiler.

# Kontrol CSPM Security Hub untuk Amazon Reviewer CodeGuru
<a name="codegurureviewer-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon CodeGuru Reviewer.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag
<a name="codegurureviewer-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config aturan:** `codegurureviewer-repository-association-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah asosiasi CodeGuru repositori Amazon Reviewer memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika asosiasi repositori tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika asosiasi repositori tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="codegurureviewer-1-remediation"></a>

*Untuk menambahkan tag ke asosiasi CodeGuru repositori Reviewer, lihat [Menandai asosiasi repositori di Panduan Pengguna Amazon Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html). CodeGuru *

# Kontrol CSPM Security Hub untuk Amazon Cognito
<a name="cognito-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Cognito. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar
<a name="cognito-1"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  Mode penegakan perlindungan ancaman yang diperiksa oleh kontrol.  |  String  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi standar. Kecuali Anda memberikan nilai parameter kustom, Security Hub CSPM menggunakan nilai default `ENFORCED` untuk mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar.

Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dan menyesuaikan tindakan yang diambil sebagai respons terhadap berbagai risiko. Atau, Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, perlindungan ancaman menerbitkan metrik ke Amazon. CloudWatch Anda dapat melihat metrik setelah Amazon Cognito menghasilkan acara pertamanya.

### Remediasi
<a name="cognito-1-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, [lihat Keamanan lanjutan dengan perlindungan ancaman](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi
<a name="cognito-2"></a>

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::IdentityPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan identitas Amazon Cognito dikonfigurasi untuk mengizinkan identitas yang tidak diautentikasi. Kontrol gagal jika akses tamu diaktifkan (`AllowUnauthenticatedIdentities`parameter disetel ke`true`) untuk kumpulan identitas.

Jika kumpulan identitas Amazon Cognito mengizinkan identitas yang tidak diautentikasi, kumpulan identitas akan memberikan AWS kredensi sementara kepada pengguna yang belum melakukan autentikasi melalui penyedia identitas (tamu). Ini menciptakan risiko keamanan karena memungkinkan akses anonim ke AWS sumber daya. Jika Anda menonaktifkan akses tamu, Anda dapat membantu memastikan bahwa hanya pengguna yang diautentikasi dengan benar yang dapat mengakses AWS sumber daya Anda, yang mengurangi risiko akses tidak sah dan potensi pelanggaran keamanan. Sebagai praktik terbaik, kumpulan identitas harus memerlukan otentikasi melalui penyedia identitas yang didukung. Jika akses yang tidak diautentikasi diperlukan, penting untuk secara hati-hati membatasi izin untuk identitas yang tidak diautentikasi, dan secara teratur meninjau dan memantau penggunaannya.

### Remediasi
<a name="cognito-2-remediation"></a>

Untuk informasi tentang menonaktifkan akses tamu untuk kumpulan identitas Amazon Cognito, [lihat Mengaktifkan atau menonaktifkan akses tamu di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) Amazon *Cognito*.

## [Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat
<a name="cognito-3"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | Jumlah minimum karakter yang harus dikandung kata sandi.  | Bilangan Bulat | `8` untuk `128` | `8 ` | 
|  `requireLowercase`  | Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireUppercase`  | Memerlukan setidaknya satu karakter huruf besar dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireNumbers`  | Memerlukan setidaknya satu nomor dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `requireSymbols`  | Memerlukan setidaknya satu simbol dalam kata sandi.  | Boolean | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | Jumlah hari maksimum kata sandi dapat ada sebelum kedaluwarsa.  | Bilangan Bulat | `7` untuk `365` | `7`  | 

Kontrol ini memeriksa apakah kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito memerlukan penggunaan kata sandi yang kuat, berdasarkan pengaturan yang disarankan untuk kebijakan kata sandi. Kontrol gagal jika kebijakan kata sandi untuk kumpulan pengguna tidak memerlukan kata sandi yang kuat. Anda dapat menentukan nilai kustom secara opsional untuk setelan kebijakan yang diperiksa oleh kontrol.

Kata sandi yang kuat adalah praktik terbaik keamanan untuk kumpulan pengguna Amazon Cognito. Kata sandi yang lemah dapat mengekspos kredensi pengguna ke sistem yang menebak kata sandi dan mencoba mengakses data. Ini terutama berlaku untuk aplikasi yang terbuka untuk internet. Kebijakan kata sandi adalah elemen sentral dari keamanan direktori pengguna. Dengan menggunakan kebijakan kata sandi, Anda dapat mengonfigurasi kumpulan pengguna untuk meminta kompleksitas kata sandi dan pengaturan lain yang sesuai dengan standar dan persyaratan keamanan Anda.

### Remediasi
<a name="cognito-3-remediation"></a>

Untuk informasi tentang membuat atau memperbarui kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito, lihat [Menambahkan persyaratan kata sandi kumpulan pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus
<a name="cognito-4"></a>

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi khusus. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi kustom.

Perlindungan ancaman, sebelumnya disebut fitur keamanan canggih, adalah seperangkat alat pemantauan untuk aktivitas yang tidak diinginkan di kumpulan pengguna Anda, dan alat konfigurasi untuk secara otomatis mematikan aktivitas yang berpotensi berbahaya. Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Mode fungsi penuh mencakup serangkaian reaksi otomatis untuk mendeteksi aktivitas yang tidak diinginkan dan kata sandi yang dikompromikan.

### Remediasi
<a name="cognito-4-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, [lihat Keamanan lanjutan dengan perlindungan ancaman](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) di Panduan Pengembang *Amazon Cognito*.

## [Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
<a name="cognito-5"></a>

**Kategori:** Lindungi > Manajemen akses yang aman > Otentikasi multi-faktor

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito yang dikonfigurasi dengan kebijakan masuk khusus kata sandi telah mengaktifkan autentikasi multi-faktor (MFA). Kontrol gagal jika kumpulan pengguna yang dikonfigurasi dengan kebijakan masuk khusus kata sandi tidak mengaktifkan MFA.

Otentikasi multi-faktor (MFA) menambahkan sesuatu yang Anda miliki faktor otentikasi ke faktor yang Anda ketahui (biasanya nama pengguna dan kata sandi). Untuk pengguna federasi, Amazon Cognito mendelegasikan autentikasi ke penyedia identitas (iDP) dan tidak menawarkan faktor otentikasi tambahan. Namun, jika Anda memiliki pengguna lokal dengan otentikasi kata sandi, mengonfigurasi MFA untuk kumpulan pengguna meningkatkan keamanan mereka.

**catatan**  
Kontrol ini tidak berlaku untuk pengguna gabungan dan pengguna yang masuk dengan faktor tanpa kata sandi.

### Remediasi
<a name="cognito-5-remediation"></a>

*Untuk informasi tentang cara mengonfigurasi MFA untuk kumpulan pengguna Amazon Cognito, lihat [Menambahkan MFA ke kumpulan pengguna di](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Panduan Pengembang Amazon Cognito.*

## [Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
<a name="cognito-6"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Cognito::UserPool`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan dinonaktifkan untuk kumpulan pengguna.

Perlindungan penghapusan membantu memastikan bahwa kumpulan pengguna Anda tidak terhapus secara tidak sengaja. Saat Anda mengonfigurasi kumpulan pengguna dengan perlindungan penghapusan, kumpulan tidak dapat dihapus oleh pengguna mana pun. Perlindungan penghapusan mencegah Anda meminta penghapusan kumpulan pengguna kecuali Anda terlebih dahulu memodifikasi kumpulan dan menonaktifkan perlindungan penghapusan.

### Remediasi
<a name="cognito-6-remediation"></a>

*Untuk mengonfigurasi perlindungan penghapusan kumpulan pengguna Amazon Cognito, [lihat Perlindungan penghapusan kumpulan pengguna di](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) Panduan Pengembang Amazon Cognito.*

# Kontrol CSPM Security Hub untuk AWS Config
<a name="config-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS Config layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya
<a name="config-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.3, Tolok Ukur Yayasan CIS v1.2.0/2.5, Tolok Ukur Yayasan CIS v1.4.0/3.5, Tolok Ukur AWS Yayasan CIS v3.0.0/3.3, Nist.800-53.r5 CM-3, NIST.800-53.R5 AWS CM-6 (1), NIST.800-53.R5 CM-8, AWS NIST.800-53.R5 R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

**Kategori:** Identifikasi > Inventaris

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  Kontrol tidak mengevaluasi apakah AWS Config menggunakan peran terkait layanan jika parameter disetel ke. `false`  |  Boolean  |  `true` atau `false`  |  `true`  | 

Kontrol ini memeriksa apakah AWS Config diaktifkan di akun Anda saat ini Wilayah AWS, mencatat semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini, dan menggunakan peran [terkait layanan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Nama peran terkait layanan adalah. **AWSServiceRoleForConfig** Jika Anda tidak menggunakan peran terkait layanan dan tidak menyetel `includeConfigServiceLinkedRoleCheck` parameternya`false`, kontrol gagal karena peran lain mungkin tidak memiliki izin yang diperlukan AWS Config untuk merekam sumber daya Anda secara akurat.

 AWS Config Layanan ini melakukan manajemen konfigurasi AWS sumber daya yang didukung di akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (AWS sumber daya), hubungan antara item konfigurasi, dan perubahan konfigurasi apa pun dalam sumber daya. Sumber daya global adalah sumber daya yang tersedia di Wilayah mana pun.

Kontrol dievaluasi sebagai berikut:
+ Jika Wilayah saat ini ditetapkan sebagai [Wilayah agregasi](finding-aggregation.md) Anda, kontrol menghasilkan `PASSED` temuan hanya jika sumber daya global AWS Identity and Access Management (IAM) direkam (jika Anda telah mengaktifkan kontrol yang memerlukannya).
+ Jika Wilayah saat ini ditetapkan sebagai Wilayah tertaut, kontrol tidak mengevaluasi apakah sumber daya global IAM dicatat.
+ Jika Wilayah saat ini tidak ada dalam agregator Anda, atau jika agregasi lintas wilayah tidak diatur di akun Anda, kontrol akan menghasilkan `PASSED` temuan hanya jika sumber daya global IAM direkam (jika Anda telah mengaktifkan kontrol yang memerlukannya).

Hasil kontrol tidak terpengaruh oleh apakah Anda memilih pencatatan harian atau terus menerus dari perubahan status sumber daya di AWS Config. Namun, hasil kontrol ini dapat berubah ketika kontrol baru dirilis jika Anda telah mengonfigurasi pengaktifan otomatis kontrol baru atau memiliki kebijakan konfigurasi pusat yang secara otomatis mengaktifkan kontrol baru. Dalam kasus ini, jika Anda tidak merekam semua sumber daya, Anda harus mengonfigurasi rekaman untuk sumber daya yang terkait dengan kontrol baru untuk menerima `PASSED` temuan.

Pemeriksaan keamanan CSPM Security Hub berfungsi sebagaimana dimaksud hanya jika Anda mengaktifkan AWS Config di semua Wilayah dan mengonfigurasi perekaman sumber daya untuk kontrol yang memerlukannya.

**catatan**  
Config.1 mengharuskan itu AWS Config diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM.  
Karena Security Hub CSPM adalah layanan Regional, pemeriksaan yang dilakukan untuk kontrol ini hanya mengevaluasi Wilayah saat ini untuk akun tersebut.  
Untuk mengizinkan pemeriksaan keamanan terhadap sumber daya global IAM di suatu Wilayah, Anda harus mencatat sumber daya global IAM di Wilayah tersebut. Wilayah yang tidak memiliki sumber daya global IAM yang direkam akan menerima `PASSED` temuan default untuk kontrol yang memeriksa sumber daya global IAM. Karena sumber daya global IAM identik Wilayah AWS, kami sarankan Anda merekam sumber daya global IAM hanya di Wilayah asal (jika agregasi lintas wilayah diaktifkan di akun Anda). Sumber daya IAM hanya akan direkam di Wilayah di mana perekaman sumber daya global dihidupkan.  
Jenis sumber daya yang direkam secara global IAM yang AWS Config mendukung adalah pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan. Anda dapat mempertimbangkan untuk menonaktifkan kontrol CSPM Security Hub yang memeriksa jenis sumber daya ini di Wilayah tempat perekaman sumber daya global dimatikan. Untuk informasi selengkapnya, lihat [Kontrol yang disarankan untuk dinonaktifkan di CSPM Security Hub](controls-to-disable.md).

### Remediasi
<a name="config-1-remediation"></a>

Di Wilayah dan Wilayah asal yang bukan merupakan bagian dari agregator, catat semua sumber daya yang diperlukan untuk kontrol yang diaktifkan di Wilayah saat ini, termasuk sumber daya global IAM jika Anda telah mengaktifkan kontrol yang memerlukan sumber daya global IAM.

Di Wilayah tertaut, Anda dapat menggunakan mode AWS Config perekaman apa pun, selama Anda merekam semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini. Di Wilayah tertaut, jika Anda telah mengaktifkan kontrol yang memerlukan perekaman sumber daya global IAM, Anda tidak akan menerima `FAILED` temuan (rekaman sumber daya lainnya sudah cukup).

`StatusReasons`Bidang dalam `Compliance` objek temuan Anda dapat membantu Anda menentukan mengapa Anda memiliki temuan yang gagal untuk kontrol ini. Untuk informasi selengkapnya, lihat [Detail kepatuhan untuk temuan kontrol](controls-findings-create-update.md#control-findings-asff-compliance).

Untuk daftar sumber daya mana yang harus direkam untuk setiap kontrol, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md). Untuk informasi umum tentang mengaktifkan AWS Config dan mengonfigurasi perekaman sumber daya, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md)

# Kontrol CSPM Security Hub untuk Amazon Connect
<a name="connect-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Connect.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
<a name="connect-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::CustomerProfiles::ObjectType`

**AWS Config aturan:** `customerprofiles-object-type-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah jenis objek Amazon Connect Customer Profiles memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika jenis objek tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jenis objek tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="connect-1-remediation"></a>

Untuk menambahkan tag ke jenis objek Profil Pelanggan, lihat [Menambahkan tag ke sumber daya di Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) di *Panduan Administrator Amazon Connect*.

## [Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch
<a name="connect-2"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Connect::Instance`

**AWS Config aturan: [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon Connect dikonfigurasi untuk membuat dan menyimpan log aliran dalam grup CloudWatch log Amazon. Kontrol gagal jika instans Amazon Connect tidak dikonfigurasi untuk membuat dan menyimpan log aliran dalam grup CloudWatch log.

Log alur Amazon Connect memberikan detail real-time tentang peristiwa di alur Amazon Connect. *Alur* mendefinisikan pengalaman pelanggan dengan pusat kontak Amazon Connect dari awal hingga akhir. Secara default, saat Anda membuat instans Amazon Connect baru, grup CloudWatch log Amazon dibuat secara otomatis untuk menyimpan log alur untuk instance tersebut. Log aliran dapat membantu Anda menganalisis alur, menemukan kesalahan, dan memantau metrik operasional. Anda juga dapat mengatur peringatan untuk peristiwa tertentu yang dapat terjadi dalam alur.

### Remediasi
<a name="connect-2-remediation"></a>

Untuk informasi tentang mengaktifkan log alur untuk instans Amazon Connect, lihat [Mengaktifkan log aliran Amazon Connect di grup CloudWatch log Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) di *Panduan Administrator Amazon Connect*.

# Kontrol CSPM Security Hub untuk Amazon Data Firehose
<a name="datafirehose-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Data Firehose.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
<a name="datafirehose-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah aliran pengiriman Amazon Data Firehose dienkripsi saat istirahat dengan enkripsi sisi server. Kontrol ini gagal jika aliran pengiriman Firehose tidak dienkripsi saat istirahat dengan enkripsi sisi server.

Enkripsi sisi server adalah fitur dalam aliran pengiriman Amazon Data Firehose yang secara otomatis mengenkripsi data sebelum diam dengan menggunakan kunci yang dibuat di (). AWS Key Management Service AWS KMS Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Firehose Data, dan didekripsi setelah diambil dari penyimpanan. Ini memungkinkan Anda untuk mematuhi persyaratan peraturan dan meningkatkan keamanan data Anda.

### Remediasi
<a name="datafirehose-1-remediation"></a>

*Untuk mengaktifkan enkripsi sisi server pada aliran pengiriman Firehose, lihat Perlindungan Data di Amazon Data Firehose [di Panduan Pengembang Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html).*

# Kontrol CSPM Security Hub untuk AWS Database Migration Service
<a name="dms-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Database Migration Service (AWS DMS) dan AWS DMS sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik
<a name="dms-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance AWS DMS replikasi bersifat publik. Untuk melakukan ini, ia memeriksa nilai `PubliclyAccessible` bidang.

Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Sebuah contoh replikasi harus memiliki alamat IP pribadi ketika database sumber dan target berada dalam jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replikasi menggunakan VPN Direct Connect,, atau VPC peering. *Untuk mempelajari lebih lanjut tentang instans replikasi publik dan pribadi, lihat Instans [replikasi publik dan pribadi di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate).AWS Database Migration Service *

Anda juga harus memastikan bahwa akses ke konfigurasi AWS DMS instans Anda terbatas hanya untuk pengguna yang berwenang. Untuk melakukan ini, batasi izin IAM pengguna untuk mengubah AWS DMS pengaturan dan sumber daya.

### Remediasi
<a name="dms-1-remediation"></a>

Anda tidak dapat mengubah pengaturan akses publik untuk instance replikasi DMS setelah membuatnya. Untuk mengubah setelan akses publik, [hapus instans Anda saat ini](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html), lalu [buat ulang](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Jangan pilih opsi yang **dapat diakses publik**.

## [DMS.2] Sertifikat DMS harus ditandai
<a name="dms-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::Certificate`

**AWS Config aturan:** `tagged-dms-certificate` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS DMS sertifikat memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-2-remediation"></a>

Untuk menambahkan tag ke sertifikat DMS, lihat [Menandai sumber daya AWS Database Migration Service di AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) *Panduan Pengguna*.

## [DMS.3] Langganan acara DMS harus ditandai
<a name="dms-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::EventSubscription`

**AWS Config aturan:** `tagged-dms-eventsubscription` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah langganan AWS DMS acara memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika langganan acara tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika langganan acara tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-3-remediation"></a>

Untuk menambahkan tag ke langganan acara DMS, lihat [Menandai sumber daya AWS Database Migration Service di AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) *Panduan Pengguna*.

## [DMS.4] Contoh replikasi DMS harus ditandai
<a name="dms-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan:** `tagged-dms-replicationinstance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah instance AWS DMS replikasi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika instance replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-4-remediation"></a>

*Untuk menambahkan tag ke instance replikasi DMS, lihat [Menandai sumber daya AWS Database Migration Service di Panduan](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Pengguna.AWS Database Migration Service *

## [DMS.5] Grup subnet replikasi DMS harus ditandai
<a name="dms-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config aturan:** `tagged-dms-replicationsubnetgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grup subnet AWS DMS replikasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet replikasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet replikasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dms-5-remediation"></a>

*Untuk menambahkan tag ke grup subnet replikasi DMS, lihat [Menandai sumber daya AWS Database Migration Service di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html).AWS Database Migration Service *

## [DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
<a name="dms-6"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance AWS DMS replikasi. Kontrol gagal jika upgrade versi minor otomatis tidak diaktifkan untuk instance replikasi DMS.

DMS menyediakan upgrade versi minor otomatis ke setiap mesin replikasi yang didukung sehingga Anda dapat menyimpan instance replikasi Anda. up-to-date Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan pemutakhiran versi minor otomatis pada instance replikasi DMS, peningkatan kecil diterapkan secara otomatis selama jendela pemeliharaan atau segera jika opsi **Terapkan segera berubah dipilih**.

### Remediasi
<a name="dms-6-remediation"></a>

*Untuk mengaktifkan pemutakhiran versi minor otomatis pada instance replikasi DMS, lihat [Memodifikasi instance replikasi](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) di Panduan Pengguna.AWS Database Migration Service *

## [DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging
<a name="dms-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationTask`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum `LOGGER_SEVERITY_DEFAULT` untuk tugas `TARGET_APPLY` replikasi DMS dan. `TARGET_LOAD` Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dari`LOGGER_SEVERITY_DEFAULT`.

DMS menggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:
+ `TARGET_APPLY`— Pernyataan bahasa definisi data dan data (DDL) diterapkan ke database target.
+ `TARGET_LOAD`— Data dimuat ke database target.

Logging memainkan peran penting dalam tugas replikasi DMS dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain `DEFAULT` jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti `DEFAULT` untuk komponen ini kecuali secara khusus diminta untuk mengubahnya Dukungan. Tingkat logging minimal `DEFAULT` memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:`LOGGER_SEVERITY_DEFAULT`,, `LOGGER_SEVERITY_DEBUG` atau. `LOGGER_SEVERITY_DETAILED_DEBUG`

### Remediasi
<a name="dms-7-remediation"></a>

Untuk mengaktifkan pencatatan tugas replikasi DMS basis data target, lihat [Melihat dan mengelola log AWS DMS tugas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) di *AWS Database Migration Service Panduan Pengguna*.

## [DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging
<a name="dms-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationTask`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan dengan tingkat keparahan minimum `LOGGER_SEVERITY_DEFAULT` untuk tugas `SOURCE_CAPTURE` replikasi DMS dan. `SOURCE_UNLOAD` Kontrol gagal jika logging tidak diaktifkan untuk tugas-tugas ini atau jika tingkat keparahan minimum kurang dari`LOGGER_SEVERITY_DEFAULT`.

DMS menggunakan Amazon CloudWatch untuk mencatat informasi selama proses migrasi. Menggunakan pengaturan tugas logging, Anda dapat menentukan aktivitas komponen mana yang dicatat dan berapa banyak informasi yang dicatat. Anda harus menentukan pencatatan untuk tugas-tugas berikut:
+ `SOURCE_CAPTURE`Data replikasi atau perubahan data capture (CDC) yang sedang berlangsung diambil dari database sumber atau layanan, dan diteruskan ke komponen `SORTER` layanan.
+ `SOURCE_UNLOAD`— Data diturunkan dari database sumber atau layanan selama beban penuh.

Logging memainkan peran penting dalam tugas replikasi DMS dengan memungkinkan pemantauan, pemecahan masalah, audit, analisis kinerja, deteksi kesalahan, dan pemulihan, serta analisis historis dan pelaporan. Ini membantu memastikan keberhasilan replikasi data antar database sambil menjaga integritas data dan kepatuhan terhadap persyaratan peraturan. Level logging selain `DEFAULT` jarang diperlukan untuk komponen ini selama pemecahan masalah. Kami merekomendasikan untuk menjaga tingkat logging seperti `DEFAULT` untuk komponen ini kecuali secara khusus diminta untuk mengubahnya Dukungan. Tingkat logging minimal `DEFAULT` memastikan bahwa pesan informasi, peringatan, dan pesan kesalahan ditulis ke log. Kontrol ini memeriksa apakah tingkat logging setidaknya salah satu dari yang berikut untuk tugas replikasi sebelumnya:`LOGGER_SEVERITY_DEFAULT`,, `LOGGER_SEVERITY_DEBUG` atau. `LOGGER_SEVERITY_DETAILED_DEBUG`

### Remediasi
<a name="dms-8-remediation"></a>

Untuk mengaktifkan pencatatan tugas replikasi DMS basis data sumber, lihat [Melihat dan mengelola log AWS DMS tugas](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) di *AWS Database Migration Service Panduan Pengguna*.

## [DMS.9] Titik akhir DMS harus menggunakan SSL
<a name="dms-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir menggunakan koneksi SSL. Kontrol gagal jika titik akhir tidak menggunakan SSL.

Koneksi SSL/TLS menyediakan lapisan keamanan dengan mengenkripsi koneksi antara instance replikasi DMS dan database Anda. Menggunakan sertifikat memberikan lapisan keamanan tambahan dengan memvalidasi bahwa koneksi sedang dibuat ke database yang diharapkan. Hal ini dilakukan dengan memeriksa sertifikat server yang secara otomatis diinstal pada semua instance database yang Anda berikan. Dengan mengaktifkan koneksi SSL pada titik akhir DMS Anda, Anda melindungi kerahasiaan data selama migrasi.

### Remediasi
<a name="dms-9-remediation"></a>

*Untuk menambahkan koneksi SSL ke titik akhir DMS baru atau yang sudah ada, lihat [Menggunakan SSL dengan AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) di Panduan Pengguna.AWS Database Migration Service *

## [DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
<a name="dms-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6,, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk database Amazon Neptunus dikonfigurasi dengan otorisasi IAM. Kontrol gagal jika titik akhir DMS tidak mengaktifkan otorisasi IAM.

AWS Identity and Access Management (IAM) menyediakan kontrol akses berbutir halus di seluruh. AWS Dengan IAM, Anda dapat menentukan siapa yang dapat mengakses layanan dan sumber daya mana, dan dalam kondisi apa. Dengan kebijakan IAM, Anda mengelola izin untuk tenaga kerja dan sistem Anda untuk memastikan izin hak istimewa paling sedikit. Dengan mengaktifkan otorisasi IAM pada AWS DMS titik akhir untuk database Neptunus, Anda dapat memberikan hak otorisasi kepada pengguna IAM dengan menggunakan peran layanan yang ditentukan oleh parameter. `ServiceAccessRoleARN`

### Remediasi
<a name="dms-10-remediation"></a>

*Untuk mengaktifkan otorisasi IAM pada titik akhir DMS untuk database Neptunus, lihat [Menggunakan Amazon Neptunus sebagai target dalam Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html). AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
<a name="dms-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3,,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk MongoDB dikonfigurasi dengan mekanisme otentikasi. Kontrol gagal jika jenis otentikasi tidak disetel untuk titik akhir.

AWS Database Migration Service **mendukung dua metode otentikasi untuk MongoDB- **MONGODB-CR untuk MongoDB versi 2.x**, dan SCRAM-SHA-1 untuk MongoDB versi 3.x atau yang lebih baru.** Metode otentikasi ini digunakan untuk mengautentikasi dan mengenkripsi kata sandi MongoDB jika pengguna ingin menggunakan kata sandi untuk mengakses database. Otentikasi pada AWS DMS titik akhir memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses dan memodifikasi data yang sedang dimigrasi antar database. Tanpa autentikasi yang tepat, pengguna yang tidak sah dapat memperoleh akses ke data sensitif selama proses migrasi. Hal ini dapat mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

### Remediasi
<a name="dms-11-remediation"></a>

*Untuk mengaktifkan mekanisme otentikasi pada titik akhir DMS untuk MongoDB, lihat [Menggunakan MongoDB sebagai sumber di Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html). AWS DMSAWS Database Migration Service *

## [DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
<a name="dms-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DMS titik akhir untuk Redis OSS dikonfigurasi dengan koneksi TLS. Kontrol gagal jika titik akhir tidak mengaktifkan TLS.

TLS memberikan end-to-end keamanan ketika data dikirim antara aplikasi atau database melalui internet. Saat Anda mengonfigurasi enkripsi SSL untuk titik akhir DMS Anda, ini memungkinkan komunikasi terenkripsi antara basis data sumber dan target selama proses migrasi. Ini membantu mencegah penyadapan dan intersepsi data sensitif oleh aktor jahat. Tanpa enkripsi SSL, data sensitif dapat diakses, mengakibatkan pelanggaran data, kehilangan data, atau insiden keamanan lainnya.

### Remediasi
<a name="dms-12-remediation"></a>

*Untuk mengaktifkan koneksi TLS pada titik akhir DMS untuk Redis, lihat [Menggunakan Redis sebagai target dalam Panduan Pengguna](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html). AWS Database Migration ServiceAWS Database Migration Service *

## [DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
<a name="dms-13"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DMS::ReplicationInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance replikasi AWS Database Migration Service (AWS DMS) dikonfigurasi untuk menggunakan beberapa Availability Zones (penerapan Multi-AZ). Kontrol gagal jika instance AWS DMS replikasi tidak dikonfigurasi untuk menggunakan penerapan Multi-AZ.

Dalam penerapan Multi-AZ, AWS DMS secara otomatis menyediakan dan memelihara replika siaga instance replikasi di Availability Zone (AZ) yang berbeda. Contoh replikasi utama kemudian direplikasi secara sinkron ke replika siaga. Jika instans replikasi utama gagal atau menjadi tidak responsif, cadangan tersebut melanjutkan tugas yang sedang berlangsung dengan gangguan minimal. Untuk informasi selengkapnya, lihat [Bekerja dengan instance replikasi](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) di *Panduan AWS Database Migration Service Pengguna*.

### Remediasi
<a name="dms-13-remediation"></a>

Setelah membuat instance AWS DMS replikasi, Anda dapat mengubah setelan penerapan Multi-AZ untuknya. *Untuk informasi tentang mengubah ini dan setelan lainnya untuk instance replikasi yang ada, lihat [Memodifikasi instance replikasi di Panduan](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) Pengguna.AWS Database Migration Service *

# Kontrol CSPM Security Hub untuk AWS DataSync
<a name="datasync-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi AWS DataSync layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DataSync.1] DataSync tugas harus mengaktifkan logging
<a name="datasync-1"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DataSync::Task`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS DataSync tugas telah mengaktifkan pencatatan. Kontrol gagal jika tugas tidak mengaktifkan logging.

Log audit melacak dan memantau aktivitas sistem. Mereka menyediakan catatan peristiwa yang dapat membantu Anda mendeteksi pelanggaran keamanan, menyelidiki insiden, dan mematuhi peraturan. Log audit juga meningkatkan akuntabilitas dan transparansi organisasi Anda secara keseluruhan.

### Remediasi
<a name="datasync-1-remediation"></a>

Untuk informasi tentang mengonfigurasi pencatatan AWS DataSync tugas, lihat [Memantau transfer data dengan CloudWatch Log Amazon](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) di *Panduan AWS DataSync Pengguna*.

## [DataSync.2] DataSync tugas harus ditandai
<a name="datasync-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DataSync::Task`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS DataSync tugas memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika tugas tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tugas tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="datasync-2-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS DataSync tugas, lihat [Menandai AWS DataSync tugas Anda](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) di *Panduan AWS DataSync Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon Detective
<a name="detective-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Detektif Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Detective.1] Grafik perilaku detektif harus diberi tag
<a name="detective-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Detective::Graph`

**AWS Config aturan:** `tagged-detective-graph` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grafik perilaku Detektif Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grafik perilaku tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grafik perilaku tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="detective-1-remediation"></a>

Untuk menambahkan tag ke grafik perilaku Detektif, lihat [Menambahkan tag ke grafik perilaku](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) di Panduan *Administrasi Detektif* Amazon.

# Kontrol CSPM Security Hub untuk Amazon DocumentDB
<a name="documentdb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon DocumentDB (dengan kompatibilitas MongoDB). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
<a name="documentdb-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster Amazon DocumentDB dienkripsi saat istirahat. Kontrol gagal jika cluster Amazon DocumentDB tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data di cluster Amazon DocumentDB harus dienkripsi saat istirahat untuk lapisan keamanan tambahan. Amazon DocumentDB menggunakan Advanced Encryption Standard 256-bit (AES-256) untuk mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan dalam AWS Key Management Service (AWS KMS).

### Remediasi
<a name="documentdb-1-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat membuat cluster Amazon DocumentDB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat [Mengaktifkan enkripsi saat istirahat untuk klaster Amazon DocumentDB di Panduan Pengembang Amazon](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) *DocumentDB*.

## [DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
<a name="documentdb-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memiliki periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi cadangan kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan backup untuk cluster Amazon DocumentDB Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. Di Amazon DocumentDB, cluster memiliki periode retensi cadangan default 1 hari. Ini harus ditingkatkan menjadi nilai antara 7 dan 35 hari untuk melewati kontrol ini.

### Remediasi
<a name="documentdb-2-remediation"></a>

*Untuk mengubah periode retensi cadangan untuk klaster Amazon DocumentDB Anda, lihat [Memodifikasi klaster Amazon DocumentDB di Panduan Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Untuk **Backup**, pilih periode retensi cadangan.

## [DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
<a name="documentdb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster manual Amazon DocumentDB bersifat publik. Kontrol gagal jika snapshot cluster manual bersifat publik.

Snapshot kluster manual Amazon DocumentDB tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.

**catatan**  
Kontrol ini mengevaluasi snapshot cluster manual. Anda tidak dapat membagikan snapshot klaster otomatis Amazon DocumentDB. Namun, Anda dapat membuat snapshot manual dengan menyalin snapshot otomatis, lalu membagikan salinannya.

### Remediasi
<a name="documentdb-3-remediation"></a>

Untuk menghapus akses publik untuk snapshot kluster manual Amazon DocumentDB, [lihat Berbagi](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) snapshot di Panduan Pengembang *Amazon* DocumentDB. Secara terprogram, Anda dapat menggunakan operasi Amazon DocumentDB. `modify-db-snapshot-attribute` Tetapkan `attribute-name` sebagai `restore` dan `values-to-remove` sebagai`all`.

## [DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
<a name="documentdb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak mempublikasikan log audit ke CloudWatch Log.

Amazon DocumentDB (dengan kompatibilitas MongoDB) memungkinkan Anda mengaudit peristiwa yang dilakukan di cluster Anda. Contoh log acara termasuk upaya autentikasi yang berhasil dan gagal, membuang koleksi dalam basis data, atau membuat indeks. Secara default, audit dinonaktifkan di Amazon DocumentDB dan mengharuskan Anda mengambil tindakan untuk mengaktifkannya.

### Remediasi
<a name="documentdb-4-remediation"></a>

Untuk mempublikasikan log audit Amazon DocumentDB CloudWatch ke Log, [lihat Mengaktifkan](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) audit di Panduan Pengembang *Amazon* DocumentDB.

## [DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
<a name="documentdb-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DocumentDB mengaktifkan perlindungan penghapusan. Kontrol gagal jika klaster tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster Amazon DocumentDB tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil. Perlindungan penghapusan diaktifkan secara default saat Anda membuat klaster di konsol Amazon DocumentDB.

### Remediasi
<a name="documentdb-5-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster Amazon DocumentDB yang ada, lihat Memodifikasi klaster Amazon DocumentDB di Panduan [Pengembang Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Di bagian **Modify Cluster**, pilih **Enable** for **Deletion protection.**

## [DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
<a name="documentdb-6"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:**`excludeTlsParameters`:`disabled`, `enabled` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon DocumentDB memerlukan TLS untuk koneksi ke cluster. Kontrol gagal jika grup parameter cluster yang terkait dengan cluster tidak sinkron, atau parameter cluster TLS diatur ke `disabled` atau`enabled`.

Anda dapat menggunakan TLS untuk mengenkripsi koneksi antara aplikasi dan cluster Amazon DocumentDB. Penggunaan TLS dapat membantu melindungi data agar tidak dicegat saat data sedang transit antara aplikasi dan cluster Amazon DocumentDB. Enkripsi dalam perjalanan untuk klaster Amazon DocumentDB dikelola menggunakan parameter TLS di grup parameter cluster yang terkait dengan cluster. Ketika enkripsi dalam transit diaktifkan, koneksi aman menggunakan TLS diperlukan untuk terhubung ke klaster. Sebaiknya gunakan parameter TLS berikut:`tls1.2+`,`tls1.3+`, dan`fips-140-3`.

### Remediasi
<a name="documentdb-6-remediation"></a>

*Untuk informasi tentang mengubah setelan TLS untuk klaster Amazon DocumentDB[, lihat Mengenkripsi data saat transit](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) di Panduan Pengembang Amazon DocumentDB.*

# Kontrol CSPM Security Hub untuk DynamoDB
<a name="dynamodb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon DynamoDB. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
<a name="dynamodb-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang valid | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  Jumlah minimum unit kapasitas baca yang disediakan untuk penskalaan otomatis DynamoDB  |  Bilangan Bulat  |  `1` untuk `40000`  |  Tidak ada nilai default  | 
|  `targetReadUtilization`  |  Target persentase pemanfaatan untuk kapasitas baca  |  Bilangan Bulat  |  `20` untuk `90`  |  Tidak ada nilai default  | 
|  `minProvisionedWriteCapacity`  |  Jumlah minimum unit kapasitas tulis yang disediakan untuk penskalaan otomatis DynamoDB  |  Bilangan Bulat  |  `1` untuk `40000`  |  Tidak ada nilai default  | 
|  `targetWriteUtilization`  |  Target persentase pemanfaatan untuk kapasitas tulis  |  Bilangan Bulat  |  `20` untuk `90`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol gagal jika tabel tidak menggunakan mode kapasitas sesuai permintaan atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Secara default, kontrol ini hanya mengharuskan salah satu mode ini dikonfigurasi, tanpa memperhatikan tingkat kapasitas baca atau tulis tertentu. Secara opsional, Anda dapat memberikan nilai parameter khusus untuk memerlukan tingkat kapasitas baca dan tulis tertentu atau pemanfaatan target.

Kapasitas penskalaan dengan permintaan menghindari pengecualian pembatasan, yang membantu menjaga ketersediaan aplikasi Anda. Tabel DynamoDB yang menggunakan mode kapasitas sesuai permintaan hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk menaikkan kuota ini, Anda dapat mengajukan tiket dukungan dengan Dukungan. Tabel DynamoDB yang menggunakan mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola lalu lintas. *Untuk informasi selengkapnya tentang pembatasan permintaan DynamoDB, [lihat Meminta pelambatan dan kapasitas burst di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) DynamoDB.*

### Remediasi
<a name="dynamodb-1-remediation"></a>

*Untuk mengaktifkan penskalaan otomatis DynamoDB pada tabel yang ada dalam mode kapasitas, lihat Mengaktifkan penskalaan otomatis [DynamoDB pada tabel yang ada di Panduan Pengembang Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable).*

## [DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
<a name="dynamodb-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah point-in-time pemulihan (PITR) diaktifkan untuk tabel Amazon DynamoDB.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. DynamoDB recovery point-in-time mengotomatiskan backup untuk tabel DynamoDB. Ini mengurangi waktu untuk memulihkan dari menghapus atau menulis operasi yang tidak disengaja. Tabel DynamoDB yang mengaktifkan PITR dapat dikembalikan ke titik waktu mana pun dalam 35 hari terakhir.

### Remediasi
<a name="dynamodb-2-remediation"></a>

*Untuk mengembalikan tabel DynamoDB ke titik waktu, lihat [Memulihkan tabel DynamoDB ke titik waktu dalam Panduan Pengembang Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*

## [DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
<a name="dynamodb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DAX::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DynamoDB Accelerator (DAX) dienkripsi saat istirahat. Kontrol gagal jika cluster DAX tidak dienkripsi saat istirahat.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk yang diakses oleh pengguna yang tidak diautentikasi. AWS Enkripsi menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.

### Remediasi
<a name="dynamodb-3-remediation"></a>

Anda tidak dapat mengaktifkan atau menonaktifkan enkripsi saat istirahat setelah cluster dibuat. Anda harus membuat ulang cluster untuk mengaktifkan enkripsi saat istirahat. Untuk petunjuk terperinci tentang cara membuat klaster DAX dengan enkripsi saat istirahat diaktifkan, lihat [Mengaktifkan enkripsi saat istirahat menggunakan Panduan Pengembang Amazon DynamoDB Konsol Manajemen AWS di](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) *Amazon DynamoDB*.

## [DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
<a name="dynamodb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi apakah `ACTIVE` tabel Amazon DynamoDB dalam status dicakup oleh rencana cadangan. Kontrol gagal jika tabel DynamoDB tidak dicakup oleh rencana cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika tabel DynamoDB dicadangkan di AWS Backup vault terkunci.

AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang membantu Anda memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat rencana cadangan yang menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. Menyertakan tabel DynamoDB dalam paket cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="dynamodb-4-remediation"></a>

*Untuk menambahkan tabel DynamoDB ke AWS Backup paket cadangan, [lihat Menetapkan sumber daya ke paket cadangan di Panduan Pengembang](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html).AWS Backup *

## [DynamoDB.5] Tabel DynamoDB harus diberi tag
<a name="dynamodb-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan:** `tagged-dynamodb-table` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah tabel Amazon DynamoDB memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="dynamodb-5-remediation"></a>

*Untuk menambahkan tag ke tabel DynamoDB, [lihat Menandai sumber daya di DynamoDB di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) DynamoDB.*

## [DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
<a name="dynamodb-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DynamoDB::Table`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah tabel Amazon DynamoDB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika tabel DynamoDB tidak mengaktifkan proteksi penghapusan.

Anda dapat melindungi tabel DynamoDB dari penghapusan yang tidak disengaja dengan properti perlindungan penghapusan. Mengaktifkan properti ini untuk tabel membantu memastikan bahwa tabel tidak terhapus secara tidak sengaja selama operasi manajemen tabel reguler oleh administrator Anda. Ini membantu mencegah gangguan pada operasi bisnis normal Anda.

### Remediasi
<a name="dynamodb-6-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan untuk tabel DynamoDB, lihat [Menggunakan perlindungan penghapusan](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) di Panduan Pengembang Amazon DynamoDB.*

## [DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
<a name="dynamodb-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7,, NIST.800-53.r5 SC-1 3 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-2 3, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::DAX::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon DynamoDB Accelerator (DAX) dienkripsi saat transit, dengan jenis enkripsi endpoint disetel ke TLS. Kontrol gagal jika klaster DAX tidak dienkripsi saat transit.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Anda hanya boleh mengizinkan koneksi terenkripsi melalui TLS untuk mengakses kluster DAX. Namun, mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan enkripsi diaktifkan untuk memahami profil kinerja dan dampak TLS.

### Remediasi
<a name="dynamodb-7-remediation"></a>

Anda tidak dapat mengubah setelan enkripsi TLS setelah membuat cluster DAX. Untuk mengenkripsi klaster DAX yang ada, buat klaster baru dengan enkripsi saat transit diaktifkan, geser lalu lintas aplikasi Anda ke klaster tersebut, lalu hapus klaster lama. Untuk informasi selengkapnya, lihat [Menggunakan perlindungan penghapusan](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) di Panduan Pengembang *Amazon DynamoDB*.

# Kontrol CSPM Security Hub untuk Amazon EC2
<a name="ec2-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Elastic Compute Cloud (Amazon EC2). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik
<a name="ec2-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis 

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa pun.

Snapshot EBS digunakan untuk mencadangkan data pada volume EBS Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Jarang dapat diterima untuk berbagi snapshot dengan publik. Biasanya keputusan untuk membagikan snapshot secara publik dibuat karena kesalahan atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua pembagian tersebut sepenuhnya direncanakan dan disengaja.

### Remediasi
<a name="ec2-1-remediation"></a>

Untuk menjadikan snapshot EBS publik menjadi pribadi, lihat [Membagikan snapshot di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) Pengguna *Amazon* EC2. Untuk **Tindakan, Ubah izin**, pilih **Pribadi**.

## [EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar
<a name="ec2-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, Tolok Ukur Yayasan CIS v1.2.0/4.3, Tolok Ukur Yayasan CIS v1.4.0/5.3, Tolok Ukur AWS Yayasan CIS v3.0.0/5.4,, (21),, (11), (16), (21), (4), (5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan default VPC memungkinkan lalu lintas masuk atau keluar. Kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk atau keluar.

Aturan untuk [grup keamanan default](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) memungkinkan semua lalu lintas keluar dan masuk dari antarmuka jaringan (dan instance terkait) yang ditetapkan ke grup keamanan yang sama. Kami menyarankan Anda untuk tidak menggunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah pengaturan aturan grup keamanan default untuk membatasi lalu lintas masuk dan keluar. Ini mencegah lalu lintas yang tidak diinginkan jika grup keamanan default secara tidak sengaja dikonfigurasi untuk sumber daya seperti instans EC2.

### Remediasi
<a name="ec2-2-remediation"></a>

Untuk mengatasi masalah ini, mulailah dengan membuat grup keamanan paling tidak memiliki hak istimewa baru. Untuk petunjuknya, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) di *Panduan Pengguna Amazon VPC*. Kemudian, tetapkan grup keamanan baru ke instans EC2 Anda. Untuk petunjuknya, lihat [Mengubah grup keamanan instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) di *Panduan Pengguna Amazon EC2*.

Setelah Anda menetapkan grup keamanan baru ke sumber daya Anda, hapus semua aturan masuk dan keluar dari grup keamanan default. Untuk petunjuknya, lihat [Mengonfigurasi aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) di *Panduan Pengguna Amazon VPC*.

## [EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat
<a name="ec2-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume EBS yang berada dalam keadaan terlampir dienkripsi. Untuk lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, maka tidak tunduk pada pemeriksaan ini.

Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat istirahat. Enkripsi Amazon EBS menawarkan solusi enkripsi langsung untuk sumber daya EBS Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi.

Untuk mempelajari lebih lanjut tentang enkripsi Amazon EBS, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) di Panduan Pengguna *Amazon EC2*.

### Remediasi
<a name="ec2-3-remediation"></a>

Tidak ada cara langsung untuk mengenkripsi volume atau snapshot yang tidak terenkripsi yang ada. Anda hanya dapat mengenkripsi volume atau snapshot baru saat Anda membuatnya.

Jika Anda mengaktifkan enkripsi secara default, Amazon EBS mengenkripsi volume atau snapshot baru yang dihasilkan menggunakan kunci default untuk enkripsi Amazon EBS. Meskipun Anda belum mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat Anda membuat volume atau snapshot individu. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk enkripsi Amazon EBS dan memilih kunci terkelola pelanggan simetris.

*Untuk informasi selengkapnya, lihat [Membuat volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) dan [Menyalin snapshot Amazon EBS di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) Amazon EC2.*

## [EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
<a name="ec2-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Jumlah hari instans EC2 diizinkan berada dalam keadaan berhenti sebelum menghasilkan temuan yang gagal.  |  Bilangan Bulat  |  `1` untuk `365`  |  `30`  | 

Kontrol ini memeriksa apakah instans Amazon EC2 telah dihentikan lebih lama dari jumlah hari yang diizinkan. Kontrol gagal jika instans EC2 dihentikan lebih lama dari periode waktu maksimum yang diizinkan. Kecuali Anda memberikan nilai parameter khusus untuk jangka waktu maksimum yang diizinkan, Security Hub CSPM menggunakan nilai default 30 hari.

Ketika instans EC2 tidak berjalan untuk jangka waktu yang signifikan, itu menciptakan risiko keamanan karena instans tidak dipelihara secara aktif (dianalisis, ditambal, diperbarui). Jika kemudian diluncurkan, kurangnya perawatan yang tepat dapat mengakibatkan masalah tak terduga di AWS lingkungan Anda. Untuk mempertahankan instans EC2 dengan aman dari waktu ke waktu dalam keadaan tidak aktif, mulailah secara berkala untuk pemeliharaan dan kemudian hentikan setelah pemeliharaan. Idealnya, ini harus menjadi proses otomatis.

### Remediasi
<a name="ec2-4-remediation"></a>

*Untuk menghentikan instans EC2 yang tidak aktif, lihat [Mengakhiri instans di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) Amazon EC2.*

## [EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs
<a name="ec2-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.7, Tolok Ukur Yayasan CIS v1.2.0/2.9, Tolok Ukur Yayasan CIS v1.4.0/3.9, Tolok Ukur AWS Yayasan CIS v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.R5 SI-7 (8), AWS Nist.800-171.r2 3.1.20, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.3.1, Nist.800-171.r2 3.13.1, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.1/10.3.6 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `trafficType`: `REJECT` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Amazon VPC Flow Logs ditemukan dan diaktifkan. VPCs Jenis lalu lintas diatur ke`Reject`. Kontrol gagal jika Log Aliran VPC tidak diaktifkan VPCs di akun Anda.

**catatan**  
Kontrol ini tidak memeriksa apakah Amazon VPC Flow Logs diaktifkan melalui Amazon Security Lake untuk file. Akun AWS

Dengan fitur VPC Flow Logs, Anda dapat menangkap informasi tentang lalu lintas alamat IP yang menuju dan dari antarmuka jaringan di VPC Anda. Setelah membuat log aliran, Anda dapat melihat dan mengambil datanya di CloudWatch Log. Untuk mengurangi biaya, Anda juga dapat mengirim log aliran Anda ke Amazon S3. 

Security Hub CSPM merekomendasikan agar Anda mengaktifkan flow logging untuk penolakan paket. VPCs Flow log memberikan visibilitas ke lalu lintas jaringan yang melintasi VPC dan dapat mendeteksi lalu lintas anomali atau memberikan wawasan selama alur kerja keamanan.

Secara default, catatan menyertakan nilai untuk berbagai komponen aliran alamat IP, termasuk sumber, tujuan, dan protokol. Untuk informasi selengkapnya dan deskripsi bidang log, lihat Log [Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di Panduan Pengguna *Amazon VPC*.

### Remediasi
<a name="ec2-6-remediation"></a>

Untuk membuat Log Aliran VPC, lihat [Membuat Log Aliran](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) di Panduan Pengguna Amazon *VPC*. **Setelah Anda membuka konsol VPC Amazon, pilih Your. VPCs** Untuk **Filter**, pilih **Tolak** atau **Semua**.

## [EC2.7] Enkripsi default EBS harus diaktifkan
<a name="ec2-7"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.1.1, Tolok Ukur Yayasan CIS v1.4.0/2.2.1, Tolok Ukur AWS Yayasan CIS v3.0.0/2.2.1, (1), 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk volume Amazon Elastic Block Store (Amazon EBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan untuk volume EBS. 

Saat enkripsi diaktifkan untuk akun Anda, volume Amazon EBS dan salinan snapshot dienkripsi saat istirahat. Ini menambahkan lapisan perlindungan tambahan untuk data Anda. Untuk informasi selengkapnya, lihat [Enkripsi secara default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) di *Panduan Pengguna Amazon EC2*.

### Remediasi
<a name="ec2-7-remediation"></a>

Untuk mengonfigurasi enkripsi default untuk volume Amazon EBS, lihat [Enkripsi secara default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) di Panduan *Pengguna Amazon EC2*.

## [EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
<a name="ec2-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.7, Tolok Ukur AWS Yayasan CIS v3.0.0/5.6,, (15), (7),, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah versi metadata instans EC2 Anda dikonfigurasi dengan Layanan Metadata Instans Versi 2 (). IMDSv2 Kontrol lolos jika `HttpTokens` diatur ke required for IMDSv2. Kontrol gagal jika `HttpTokens` disetel ke`optional`.

Anda menggunakan metadata instance untuk mengonfigurasi atau mengelola instance yang sedang berjalan. IMDS menyediakan akses ke kredensial sementara yang sering diputar. Kredensil ini menghapus kebutuhan untuk kode keras atau mendistribusikan kredensil sensitif ke instance secara manual atau terprogram. IMDS dilampirkan secara lokal ke setiap instans EC2. Ini berjalan pada alamat IP “link lokal” khusus 169.254.169.254. Alamat IP ini hanya dapat diakses oleh perangkat lunak yang berjalan pada instance.

Versi 2 IMDS menambahkan perlindungan baru untuk jenis kerentanan berikut. Kerentanan ini dapat digunakan untuk mencoba mengakses IMDS.
+ Buka firewall aplikasi situs web
+ Buka proxy terbalik
+ Kerentanan pemalsuan permintaan sisi server (SSRF)
+ Buka firewall Layer 3 dan terjemahan alamat jaringan (NAT)

Security Hub CSPM merekomendasikan agar Anda mengonfigurasi instans EC2 Anda. IMDSv2

### Remediasi
<a name="ec2-8-remediation"></a>

Untuk mengonfigurasi instans EC2 dengan IMDSv2, lihat [Jalur yang disarankan untuk membutuhkan IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) di Panduan Pengguna *Amazon EC2*.

## [EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4
<a name="ec2-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 memiliki alamat IP publik. Kontrol gagal jika `publicIp` bidang hadir dalam item konfigurasi instans EC2. Kontrol ini hanya berlaku untuk IPv4 alamat. 

Alamat IPv4 publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Anda dengan alamat IP publik, maka instans EC2 Anda dapat dijangkau dari internet. Alamat IPv4 pribadi adalah alamat IP yang tidak dapat dijangkau dari internet. Anda dapat menggunakan alamat IPv4 pribadi untuk komunikasi antara instans EC2 di VPC yang sama atau di jaringan pribadi Anda yang terhubung.

IPv6 alamat unik secara global, dan karenanya dapat dijangkau dari internet. Namun, secara default semua subnet memiliki atribut IPv6 pengalamatan disetel ke false. Untuk informasi selengkapnya IPv6, lihat [Pengalamatan IP di VPC Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) Panduan Pengguna *Amazon VPC*.

Jika Anda memiliki kasus penggunaan yang sah untuk mempertahankan instans EC2 dengan alamat IP publik, maka Anda dapat menekan temuan dari kontrol ini. Untuk informasi selengkapnya tentang opsi arsitektur front-end, lihat [Blog AWS Arsitektur](https://aws.amazon.com/blogs/architecture/) atau [seri AWS video seri This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Remediasi
<a name="ec2-9-remediation"></a>

Gunakan VPC non-default sehingga instans Anda tidak diberi alamat IP publik secara default.

Ketika Anda meluncurkan instans EC2 ke VPC default, itu diberikan alamat IP publik. Saat Anda meluncurkan instans EC2 ke VPC non-default, konfigurasi subnet menentukan apakah ia menerima alamat IP publik. Subnet memiliki atribut untuk menentukan apakah instans EC2 baru di subnet menerima alamat IP publik dari kumpulan alamat publik. IPv4 

Anda dapat memisahkan alamat IP publik yang ditetapkan secara otomatis dari instans EC2 Anda. Untuk informasi selengkapnya, lihat [ IPv4 Alamat publik dan nama host DNS eksternal](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) di Panduan Pengguna *Amazon EC2*.

## [EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2
<a name="ec2-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Akses pribadi API

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** 
+ `serviceName`: `ec2` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir layanan untuk Amazon EC2 dibuat untuk setiap VPC. Kontrol gagal jika VPC tidak memiliki titik akhir VPC yang dibuat untuk layanan Amazon EC2. 

Kontrol ini mengevaluasi sumber daya dalam satu akun. Itu tidak dapat menggambarkan sumber daya yang berada di luar akun. Karena AWS Config dan Security Hub CSPM tidak melakukan pemeriksaan lintas akun, Anda akan melihat `FAILED` temuan VPCs yang dibagikan di seluruh akun. Security Hub CSPM merekomendasikan agar Anda menekan temuan ini. `FAILED`

Untuk meningkatkan postur keamanan VPC Anda, Anda dapat mengonfigurasi Amazon EC2 untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses operasi Amazon EC2 API secara pribadi. Ini membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon EC2 ke jaringan Amazon. Karena titik akhir hanya didukung dalam Wilayah yang sama, Anda tidak dapat membuat titik akhir antara VPC dan layanan di Wilayah yang berbeda. Ini mencegah panggilan API Amazon EC2 yang tidak diinginkan ke Wilayah lain. 

*Untuk mempelajari selengkapnya tentang membuat titik akhir VPC untuk Amazon EC2, lihat Amazon EC2 [dan titik akhir VPC antarmuka di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html).*

### Remediasi
<a name="ec2-10-remediation"></a>

*Untuk membuat titik akhir antarmuka ke Amazon EC2 dari konsol VPC Amazon, lihat [Membuat titik akhir VPC di](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) Panduan.AWS PrivateLink * Untuk **nama Layanan**, pilih **com.amazonaws. *region*.ec2**.

Anda juga dapat membuat dan melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk mengontrol akses ke Amazon EC2 API. *Untuk petunjuk cara membuat kebijakan titik akhir VPC, lihat [Membuat kebijakan titik akhir](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) di Panduan Pengguna Amazon EC2.*

## [EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs
<a name="ec2-12"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.4, Nist.800-53.r5 CM-8 (1)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::EIP`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah alamat Elastic IP (EIP) yang dialokasikan ke VPC dilampirkan ke instans EC2 atau antarmuka jaringan elastis yang sedang digunakan (). ENIs

Temuan yang gagal menunjukkan Anda mungkin memiliki EIPs EC2 yang tidak digunakan.

Ini akan membantu Anda mempertahankan inventaris aset yang akurat EIPs di lingkungan data pemegang kartu (CDE) Anda.

### Remediasi
<a name="ec2-12-remediation"></a>

Untuk merilis EIP yang tidak digunakan, lihat [Melepaskan alamat IP Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) di Panduan Pengguna *Amazon EC2*.

## [EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
<a name="ec2-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/4.1,, (21),, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.13.1, PCI NIST.800-53.r5 SC-7 DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.1 2.2.2, PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)**

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 22. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, seperti SSH, mengurangi eksposur server terhadap risiko.

### Remediasi
<a name="ec2-13-remediation"></a>

Untuk melarang masuknya ke port 22, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan VPC. Untuk petunjuknya, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di *Panduan Pengguna Amazon EC2*. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22.

## [EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
<a name="ec2-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(aturan yang dibuat adalah`restricted-rdp`)

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 3389. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, seperti RDP, mengurangi eksposur server terhadap risiko.

### Remediasi
<a name="ec2-14-remediation"></a>

Untuk melarang masuknya ke port 3389, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan VPC. Untuk petunjuknya, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) di *Panduan Pengguna Amazon VPC*. Setelah memilih grup keamanan di Konsol VPC Amazon, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 3389.

## [EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik
<a name="ec2-15"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::Subnet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah subnet Amazon Virtual Private Cloud (Amazon VPC) dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol gagal jika subnet dikonfigurasi untuk secara otomatis menetapkan publik IPv4 atau IPv6 alamat.

Subnet memiliki atribut yang menentukan apakah antarmuka jaringan secara otomatis menerima publik IPv4 dan IPv6 alamat. Untuk IPv4, atribut ini disetel ke `TRUE` untuk subnet default dan `FALSE` untuk subnet nondefault (dengan pengecualian untuk subnet nondefault yang dibuat melalui wizard instans peluncuran EC2, yang disetel ke). `TRUE` Untuk IPv6, atribut ini diatur ke `FALSE` untuk semua subnet secara default. Ketika atribut ini diaktifkan, instance yang diluncurkan di subnet secara otomatis menerima alamat IP yang sesuai (IPv4 atau IPv6) pada antarmuka jaringan utama mereka.

### Remediasi
<a name="ec2-15-remediation"></a>

Untuk mengonfigurasi subnet agar tidak menetapkan alamat IP publik, lihat [Memodifikasi atribut pengalamatan IP subnet Anda di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) Amazon *VPC*.

## [EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
<a name="ec2-16"></a>

**Persyaratan terkait:** Nist.800-53.r5 CM-8 (1), Nist.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ada daftar kontrol akses jaringan (jaringan ACLs) yang tidak terpakai di cloud pribadi virtual (VPC) Anda. Kontrol gagal jika ACL jaringan tidak terkait dengan subnet. Kontrol tidak menghasilkan temuan untuk ACL jaringan default yang tidak digunakan.

Kontrol memeriksa konfigurasi item sumber daya `AWS::EC2::NetworkAcl` dan menentukan hubungan ACL jaringan.

Jika satu-satunya hubungan adalah VPC jaringan ACL, kontrol gagal.

Jika hubungan lain terdaftar, maka kontrol berlalu.

### Remediasi
<a name="ec2-16-remediation"></a>

Untuk petunjuk cara menghapus ACL jaringan yang tidak digunakan, lihat [Menghapus ACL jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) di Panduan Pengguna *Amazon* VPC. Anda tidak dapat menghapus ACL jaringan default atau ACL yang terkait dengan subnet.

## [EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs
<a name="ec2-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 menggunakan beberapa Elastic Network Interfaces (ENIs) atau Elastic Fabric Adapters (EFA). Kontrol ini lolos jika adaptor jaringan tunggal digunakan. Kontrol mencakup daftar parameter opsional untuk mengidentifikasi ENI yang diizinkan. Kontrol ini juga gagal jika instans EC2 milik kluster Amazon EKS menggunakan lebih dari satu ENI. Jika instans EC2 Anda perlu memiliki beberapa ENIs sebagai bagian dari kluster Amazon EKS, Anda dapat menekan temuan kontrol tersebut.

Beberapa ENIs dapat menyebabkan instance dual-homed, yang berarti instance yang memiliki beberapa subnet. Ini dapat menambah kompleksitas keamanan jaringan dan memperkenalkan jalur dan akses jaringan yang tidak diinginkan.

### Remediasi
<a name="ec2-17-remediation"></a>

Untuk melepaskan antarmuka jaringan dari instans EC2, lihat [Melepaskan antarmuka jaringan dari instans di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) Pengguna *Amazon* EC2.

## [EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi
<a name="ec2-18"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Daftar port TCP resmi  |  IntegerList (minimal 1 item dan maksimal 32 item)  |  `1` untuk `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Daftar port UDP resmi  |  IntegerList (minimal 1 item dan maksimal 32 item)  |  `1` untuk `65535`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak sah. Status kontrol ditentukan sebagai berikut:
+ Jika Anda menggunakan nilai default untuk`authorizedTcpPorts`, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port selain port 80 dan 443.
+ Jika Anda memberikan nilai khusus untuk `authorizedTcpPorts` atau`authorizedUdpPorts`, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak terdaftar.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke. AWS Aturan grup keamanan harus mengikuti prinsip akses yang paling tidak memiliki hak istimewa. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang aktivitas berbahaya seperti peretasan, denial-of-service serangan, dan kehilangan data. Kecuali port diizinkan secara khusus, port harus menolak akses tidak terbatas.

### Remediasi
<a name="ec2-18-remediation"></a>

Untuk mengubah grup keamanan, lihat [Bekerja dengan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) di *Panduan Pengguna Amazon VPC*.

## [EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
<a name="ec2-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1),, NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1

**Kategori:** Lindungi > Akses jaringan terbatas

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(aturan yang dibuat adalah`vpc-sg-restricted-common-ports`)

**Jenis jadwal:** Perubahan yang dipicu dan berkala

**Parameter:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan Amazon EC2 dapat diakses ke port tertentu yang dianggap berisiko tinggi. Kontrol ini gagal jika salah satu aturan dalam grup keamanan mengizinkan lalu lintas masuk dari '0.0.0.0/0' atau ': :/0' ke port tersebut.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Akses tidak terbatas (0.0.0.0/0) meningkatkan peluang untuk aktivitas berbahaya, seperti peretasan, denial-of-service serangan, dan kehilangan data. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (kerangka kerja pengembangan web Go, Node.js, dan Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Kerangka pengembangan web Python)
+ 5432 (Postgresql)
+ 5500 (fcp-addr-srvr1) 
+ 5601 (Dasbor) OpenSearch 
+ 8080 (proksi)
+ 8088 (port HTTP lama)
+ 8888 (port HTTP alternatif)
+ 9200 atau 9300 () OpenSearch

### Remediasi
<a name="ec2-19-remediation"></a>

Untuk menghapus aturan dari grup keamanan, lihat [Menghapus aturan dari grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) di *Panduan Pengguna Amazon EC2*.

## [EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif
<a name="ec2-20"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-13 (5), Nist.800-171.R2 3.1.13, Nist.800-171.R2 3.1.20

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::VPNConnection`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Terowongan VPN adalah tautan terenkripsi tempat data dapat berpindah dari jaringan pelanggan ke atau dari AWS dalam koneksi AWS Site-to-Site VPN. Setiap koneksi VPN mencakup dua terowongan VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan bahwa kedua terowongan VPN siap untuk koneksi VPN penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara AWS VPC dan jaringan jarak jauh Anda.

Kontrol ini memeriksa apakah kedua terowongan VPN yang disediakan oleh AWS Site-to-Site VPN berada dalam status UP. Kontrol gagal jika salah satu atau kedua terowongan berada dalam status DOWN.

### Remediasi
<a name="ec2-20-remediation"></a>

Untuk mengubah opsi terowongan VPN, lihat [Memodifikasi opsi terowongan Site-to-Site AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) di Panduan Pengguna VPN.

## [EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389
<a name="ec2-21"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.2, Tolok Ukur Yayasan CIS v1.4.0/5.1, Tolok Ukur AWS Yayasan CIS v3.0.0/5.1, (21), (1),, NIST.800-53.r5 AC-4 (21), (5), Nist.800-171.r2 3.1.3, NIST.800-53.r5 CA-9 Nist.800-171.r2 3.1.r2 SS NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 v4.0.1/1.3.1 AWS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah daftar kontrol akses jaringan (ACL jaringan) memungkinkan akses tidak terbatas ke port TCP default untuk SSH/RDP lalu lintas masuk. Kontrol gagal jika entri masuk ACL jaringan memungkinkan blok CIDR sumber '0.0.0.0/0' atau ': :/0' untuk port TCP 22 atau 3389. Kontrol tidak menghasilkan temuan untuk ACL jaringan default.

Akses ke port administrasi server jarak jauh, seperti port 22 (SSH) dan port 3389 (RDP), tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke sumber daya dalam VPC Anda.

### Remediasi
<a name="ec2-21-remediation"></a>

Untuk mengedit aturan lalu lintas ACL jaringan, lihat [Bekerja dengan jaringan ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) di Panduan Pengguna *Amazon VPC*.

## [EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
<a name="ec2-22"></a>

**Kategori:** Identifikasi > Inventaris

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:**`AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) atau ke antarmuka elastic network. Kontrol gagal jika grup keamanan tidak terkait dengan instans Amazon EC2 atau elastic network interface.

**penting**  
Pada tanggal 20 September 2023, Security Hub CSPM menghapus kontrol ini dari standar Praktik Terbaik Keamanan AWS Dasar dan NIST SP 800-53 Revisi 5. Kontrol ini terus menjadi bagian dari standar yang AWS Control Tower dikelola layanan. Kontrol ini menghasilkan temuan yang diteruskan jika grup keamanan dilampirkan ke instans EC2 atau elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan kontrol EC2 lainnya—seperti EC2.2, EC2.13, EC2.14, EC2.18, dan EC2.19—untuk memantau grup keamanan Anda.

### Remediasi
<a name="ec2-22-remediation"></a>

Untuk membuat, menetapkan, dan menghapus grup keamanan, lihat [Grup keamanan untuk instans EC2 Anda di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) *Amazon* EC2.

## [EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC
<a name="ec2-23"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::TransitGateway`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah gateway transit EC2 secara otomatis menerima lampiran VPC bersama. Kontrol ini gagal untuk gateway transit yang secara otomatis menerima permintaan lampiran VPC bersama.

Menghidupkan `AutoAcceptSharedAttachments` mengonfigurasi gateway transit untuk secara otomatis menerima permintaan lampiran VPC lintas akun apa pun tanpa memverifikasi permintaan atau akun tempat lampiran berasal. Untuk mengikuti praktik otorisasi dan otentikasi terbaik, kami sarankan untuk mematikan fitur ini untuk memastikan bahwa hanya permintaan lampiran VPC resmi yang diterima.

### Remediasi
<a name="ec2-23-remediation"></a>

Untuk mengubah gateway transit, lihat [Memodifikasi gateway transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) di Panduan Pengembang Amazon VPC.

## [EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
<a name="ec2-24"></a>

**Persyaratan terkait:** Nist.800-53.r5 CM-2, Nist.800-53.r5 CM-2 (2)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jenis virtualisasi dari instans EC2 adalah paravirtual. Kontrol gagal jika instans EC2 diatur ke`paravirtual`. `virtualizationType`

Linux Amazon Machine Images (AMIs) menggunakan salah satu dari dua jenis virtualisasi: paravirtual (PV) atau hardware virtual machine (HVM). Perbedaan utama antara PV dan HVM AMIs adalah cara mereka boot dan apakah mereka dapat memanfaatkan ekstensi perangkat keras khusus (CPU, jaringan, dan penyimpanan) untuk kinerja yang lebih baik.

Secara historis, tamu PV memiliki kinerja yang lebih baik dibandingkan tamu HVM dalam banyak kasus, tetapi karena peningkatan virtualisasi HVM dan ketersediaan driver IT untuk HVM AMIs, ini tidak lagi benar. Untuk informasi selengkapnya, lihat [jenis virtualisasi AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) di Panduan Pengguna Amazon EC2.

### Remediasi
<a name="ec2-24-remediation"></a>

Untuk memperbarui instans EC2 ke jenis instans baru, lihat [Mengubah jenis instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) di Panduan Pengguna *Amazon EC2*.

## [EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan
<a name="ec2-25"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi 

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah templat peluncuran Amazon EC2 dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan saat diluncurkan. Kontrol gagal jika template peluncuran EC2 dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan atau jika ada setidaknya satu antarmuka jaringan yang memiliki alamat IP publik.

Alamat IP publik adalah alamat yang dapat dijangkau dari internet. Jika Anda mengonfigurasi antarmuka jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan antarmuka jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik karena ini memungkinkan akses yang tidak diinginkan ke beban kerja Anda.

### Remediasi
<a name="ec2-25-remediation"></a>

Untuk memperbarui template peluncuran EC2, lihat [Mengubah setelan antarmuka jaringan default di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) Pengguna *Amazon EC2 Auto* Scaling.

## [EC2.28] Volume EBS harus dicakup oleh rencana cadangan
<a name="ec2-28"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi jika volume Amazon EBS dalam `in-use` status dicakup oleh paket cadangan. Kontrol gagal jika volume EBS tidak tercakup oleh paket cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika volume EBS dicadangkan di brankas yang AWS Backup terkunci.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Menyertakan volume Amazon EBS dalam paket cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="ec2-28-remediation"></a>

Untuk menambahkan volume Amazon EBS ke paket AWS Backup cadangan, lihat [Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) *Pengembang*.

## [EC2.33] Lampiran gateway transit EC2 harus ditandai
<a name="ec2-33"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config aturan:** `tagged-ec2-transitgatewayattachment` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lampiran gateway transit Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika lampiran gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lampiran gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-33-remediation"></a>

Untuk menambahkan tag ke lampiran gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.34] Tabel rute gateway transit EC2 harus ditandai
<a name="ec2-34"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config aturan:** `tagged-ec2-transitgatewayroutetable` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel rute gateway transit Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel rute gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-34-remediation"></a>

Untuk menambahkan tag ke tabel rute gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.35] Antarmuka jaringan EC2 harus ditandai
<a name="ec2-35"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkInterface`

**AWS Config aturan:** `tagged-ec2-networkinterface` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah antarmuka jaringan Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika antarmuka jaringan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antarmuka jaringan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-35-remediation"></a>

Untuk menambahkan tag ke antarmuka jaringan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.36] Gateway pelanggan EC2 harus ditandai
<a name="ec2-36"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::CustomerGateway`

**AWS Config aturan:** `tagged-ec2-customergateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway pelanggan Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway pelanggan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway pelanggan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-36-remediation"></a>

Untuk menambahkan tag ke gateway pelanggan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.37] Alamat IP Elastis EC2 harus ditandai
<a name="ec2-37"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::EIP`

**AWS Config aturan:** `tagged-ec2-eip` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah alamat IP Elastis Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika alamat IP Elastis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alamat IP Elastis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-37-remediation"></a>

Untuk menambahkan tag ke alamat IP Elastis EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.38] Instans EC2 harus ditandai
<a name="ec2-38"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Instance`

**AWS Config aturan:** `tagged-ec2-instance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah instans Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika instance tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-38-remediation"></a>

Untuk menambahkan tag ke instans EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.39] Gerbang internet EC2 harus ditandai
<a name="ec2-39"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::InternetGateway`

**AWS Config aturan:** `tagged-ec2-internetgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway internet Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway internet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway internet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-39-remediation"></a>

Untuk menambahkan tag ke gateway internet EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.40] Gerbang EC2 NAT harus ditandai
<a name="ec2-40"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NatGateway`

**AWS Config aturan:** `tagged-ec2-natgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway terjemahan alamat jaringan (NAT) Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway NAT tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway NAT tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-40-remediation"></a>

Untuk menambahkan tag ke gateway EC2 NAT, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.41] Jaringan EC2 harus ditandai ACLs
<a name="ec2-41"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::NetworkAcl`

**AWS Config aturan:** `tagged-ec2-networkacl` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah daftar kontrol akses jaringan Amazon EC2 (ACL jaringan) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika ACL jaringan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ACL jaringan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-41-remediation"></a>

Untuk menambahkan tag ke ACL jaringan EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.42] Tabel rute EC2 harus ditandai
<a name="ec2-42"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::RouteTable`

**AWS Config aturan:** `tagged-ec2-routetable` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tabel rute Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tabel rute tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-42-remediation"></a>

Untuk menambahkan tag ke tabel rute EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.43] Grup keamanan EC2 harus ditandai
<a name="ec2-43"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan:** `tagged-ec2-securitygroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup keamanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-43-remediation"></a>

Untuk menambahkan tag ke grup keamanan EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.44] Subnet EC2 harus ditandai
<a name="ec2-44"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Subnet`

**AWS Config aturan:** `tagged-ec2-subnet` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah subnet Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika subnet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika subnet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-44-remediation"></a>

Untuk menambahkan tag ke subnet EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.45] Volume EC2 harus ditandai
<a name="ec2-45"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::Volume`

**AWS Config aturan:** `tagged-ec2-volume` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah volume Amazon EC2 memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika volume tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika volume tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-45-remediation"></a>

Untuk menambahkan tag ke volume EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.46] Amazon VPCs harus ditandai
<a name="ec2-46"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPC`

**AWS Config aturan:** `tagged-ec2-vpc` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah Amazon Virtual Private Cloud (Amazon VPC) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika VPC Amazon tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika VPC Amazon tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-46-remediation"></a>

Untuk menambahkan tag ke VPC, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) Pengguna Amazon *EC2*.

## [EC2.47] Layanan titik akhir Amazon VPC harus ditandai
<a name="ec2-47"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPCEndpointService`

**AWS Config aturan:** `tagged-ec2-vpcendpointservice` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah layanan titik akhir VPC Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika layanan endpoint tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan titik akhir tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-47-remediation"></a>

*Untuk menambahkan tag ke layanan titik akhir Amazon VPC, lihat [Mengelola Tag](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) di bagian [Mengonfigurasi layanan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) dari Panduan.AWS PrivateLink *

## [EC2.48] Log aliran VPC Amazon harus ditandai
<a name="ec2-48"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::FlowLog`

**AWS Config aturan:** `tagged-ec2-flowlog` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah log aliran VPC Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika log aliran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika log aliran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-48-remediation"></a>

Untuk menambahkan tag ke log aliran VPC Amazon, lihat [Menandai log alur di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) Pengguna Amazon *VPC*.

## [EC2.49] Koneksi peering VPC Amazon harus ditandai
<a name="ec2-49"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPCPeeringConnection`

**AWS Config aturan:** `tagged-ec2-vpcpeeringconnection` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah koneksi peering VPC Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika koneksi peering tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika koneksi peering tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-49-remediation"></a>

*Untuk menambahkan tag ke koneksi peering VPC Amazon, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.50] Gateway EC2 VPN harus ditandai
<a name="ec2-50"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::VPNGateway`

**AWS Config aturan:** `tagged-ec2-vpngateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah gateway Amazon EC2 VPN memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway VPN tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway VPN tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-50-remediation"></a>

Untuk menambahkan tag ke gateway VPN EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) di Panduan Pengguna *Amazon EC2*.

## [EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
<a name="ec2-51"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), Nist.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-4, Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), Nist.800-171.R2 3.1.12, Nist.800-171.r2 3.1.20, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Client VPN titik akhir mengaktifkan pencatatan koneksi klien. Kontrol gagal jika titik akhir tidak mengaktifkan pencatatan koneksi klien.

Titik akhir Client VPN memungkinkan klien jarak jauh untuk terhubung dengan aman ke sumber daya di Virtual Private Cloud (VPC) di. AWS Log koneksi memungkinkan Anda melacak aktivitas pengguna di titik akhir VPN dan memberikan visibilitas. Bila Anda mengaktifkan logging koneksi, Anda dapat menentukan nama pengaliran log dalam grup log. Jika Anda tidak menentukan aliran log, layanan Client VPN membuatnya untuk Anda.

### Remediasi
<a name="ec2-51-remediation"></a>

Untuk mengaktifkan pencatatan koneksi, lihat [Mengaktifkan pencatatan koneksi untuk titik akhir Client VPN yang ada](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) di *Panduan AWS Client VPN Administrator*.

## [EC2.52] Gerbang transit EC2 harus ditandai
<a name="ec2-52"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TransitGateway`

**AWS Config aturan:** `tagged-ec2-transitgateway` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah gateway transit Amazon EC2 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ec2-52-remediation"></a>

Untuk menambahkan tag ke gateway transit EC2, lihat [Menandai sumber daya Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) di Panduan Pengguna *Amazon EC2*.

## [EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh
<a name="ec2-53"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.3, Tolok Ukur Yayasan CIS v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Versi IP  |  String  |  Tidak dapat disesuaikan  |  `IPv4`  | 
|  `restrictPorts`  |  Daftar port yang harus menolak lalu lintas masuk  |  IntegerList  |  Tidak dapat disesuaikan  |  `22,3389`  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

### Remediasi
<a name="ec2-53-remediation"></a>

Untuk memperbarui aturan grup keamanan EC2 untuk melarang lalu lintas masuk ke port yang ditentukan, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di Panduan Pengguna *Amazon* EC2. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22 atau port 3389.

## [EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh
<a name="ec2-54"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/5.4, Tolok Ukur Yayasan CIS v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS 

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SecurityGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Versi IP  |  String  |  Tidak dapat disesuaikan  |  `IPv6`  | 
|  `restrictPorts`  |  Daftar port yang harus menolak lalu lintas masuk  |  IntegerList  |  Tidak dapat disesuaikan  |  `22,3389`  | 

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 memungkinkan masuknya dari: :/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari: :/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

### Remediasi
<a name="ec2-54-remediation"></a>

Untuk memperbarui aturan grup keamanan EC2 untuk melarang lalu lintas masuk ke port yang ditentukan, lihat [Memperbarui aturan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) di Panduan Pengguna *Amazon* EC2. Setelah memilih grup keamanan di konsol Amazon EC2, pilih **Tindakan, Edit aturan masuk**. Hapus aturan yang memungkinkan akses ke port 22 atau port 3389.

## [EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
<a name="ec2-55"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ecr.api | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Amazon ECR API. Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk ECR API. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-55-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
<a name="ec2-56"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ecr.dkr | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Docker Registry. Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Docker Registry. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-56-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
<a name="ec2-57"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-57-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager
<a name="ec2-58"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm-contacts | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Kontak Manajer Insiden. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Kontak Manajer Insiden Manajer Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-58-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
<a name="ec2-60"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Diperlukan | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Diperlukan  | Nama layanan yang dievaluasi oleh kontrol  | String  | Tidak dapat disesuaikan  | ssm-incidents | 
| vpcIds  | Opsional  | Daftar VPC Amazon yang dipisahkan koma IDs untuk titik akhir VPC. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam serviceName parameter tidak memiliki salah satu titik akhir VPC ini.  | StringList  | Sesuaikan dengan satu atau lebih VPC IDs  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki titik akhir VPC antarmuka untuk Manajer Insiden. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki titik akhir VPC antarmuka untuk Systems Manager Incident Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari VPC atau lokal mereka, tanpa menggunakan IPs publik, dan tanpa memerlukan lalu lintas untuk melintasi internet.

### Remediasi
<a name="ec2-60-remediation"></a>

*Untuk mengonfigurasi titik akhir VPC, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *

## [EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2
<a name="ec2-170"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah templat peluncuran Amazon EC2 dikonfigurasi dengan Layanan Metadata Instans Versi 2 (). IMDSv2 Kontrol gagal jika `HttpTokens` disetel ke`optional`.

Menjalankan sumber daya pada versi perangkat lunak yang didukung memastikan kinerja, keamanan, dan akses optimal ke fitur-fitur terbaru. Pembaruan rutin melindungi terhadap kerentanan, yang membantu memastikan pengalaman pengguna yang stabil dan efisien.

### Remediasi
<a name="ec2-170-remediation"></a>

*Untuk mewajibkan IMDSv2 pada templat peluncuran EC2, lihat [Mengonfigurasi opsi Layanan Metadata Instans di](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) Panduan Pengguna Amazon EC2.*

## [EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging
<a name="ec2-171"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPNConnection`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi AWS Site-to-Site VPN mengaktifkan Amazon CloudWatch Logs untuk kedua terowongan. Kontrol gagal jika koneksi Site-to-Site VPN tidak mengaktifkan CloudWatch Log untuk kedua terowongan.

AWS Site-to-Site Log VPN memberi Anda visibilitas yang lebih dalam ke penerapan Site-to-Site VPN Anda. Dengan fitur ini, Anda memiliki akses ke log koneksi Site-to-Site VPN yang memberikan rincian tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD). Site-to-Site Log VPN dapat dipublikasikan ke CloudWatch Log. Fitur ini memberi pelanggan satu cara konsisten untuk mengakses dan menganalisis log terperinci untuk semua koneksi Site-to-Site VPN mereka.

### Remediasi
<a name="ec2-171-remediation"></a>

Untuk mengaktifkan pencatatan terowongan pada koneksi VPN EC2, lihat [log AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) di *Panduan Pengguna AWS Site-to-Site VPN*.

## [EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
<a name="ec2-172"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config aturan:** `ec2-vpc-bpa-internet-gateway-blocked` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Nilai string dari mode opsi VPC BPA.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pengaturan Amazon EC2 VPC Block Public Access (BPA) dikonfigurasi untuk memblokir lalu lintas gateway internet untuk semua Amazon di. VPCs Akun AWS Kontrol gagal jika pengaturan VPC BPA tidak dikonfigurasi untuk memblokir lalu lintas gateway internet. Agar kontrol lolos, BPA VPC `InternetGatewayBlockMode` harus disetel ke atau. `block-bidirectional` `block-ingress` Jika parameter `vpcBpaInternetGatewayBlockMode` disediakan, kontrol hanya lewat jika nilai VPC BPA `InternetGatewayBlockMode` cocok dengan parameter.

Mengkonfigurasi pengaturan BPA VPC untuk akun Anda di Wilayah AWS sebuah memungkinkan Anda memblokir sumber daya dan subnet yang Anda miliki VPCs di Wilayah itu agar tidak menjangkau atau dijangkau dari internet melalui gateway internet dan gateway internet khusus egres. Jika Anda memerlukan subnet VPCs dan spesifik untuk dapat menjangkau atau dapat dijangkau dari internet, Anda dapat mengecualikannya dengan mengonfigurasi pengecualian VPC BPA. Untuk petunjuk cara membuat dan menghapus pengecualian, lihat [Membuat dan menghapus pengecualian](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) di Panduan Pengguna Amazon *VPC*.

### Remediasi
<a name="ec2-172-remediation"></a>

*Untuk mengaktifkan BPA dua arah di tingkat akun, lihat [Mengaktifkan mode dua arah BPA untuk akun Anda di](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Panduan Pengguna Amazon VPC.* Untuk mengaktifkan BPA khusus masuk, lihat Mengubah mode BPA [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) menjadi hanya masuk. Untuk mengaktifkan BPA VPC di tingkat Organisasi, lihat Mengaktifkan [BPA VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) di tingkat Organisasi.

## [EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir
<a name="ec2-173"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::SpotFleet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah permintaan Amazon EC2 Spot Fleet yang menentukan parameter peluncuran dikonfigurasi untuk mengaktifkan enkripsi untuk semua volume Amazon Elastic Block Store (Amazon EBS) yang dilampirkan ke instans EC2. Kontrol gagal jika permintaan Armada Spot menentukan parameter peluncuran dan tidak mengaktifkan enkripsi untuk satu atau beberapa volume EBS yang ditentukan dalam permintaan.

Untuk lapisan keamanan tambahan, Anda harus mengaktifkan enkripsi untuk volume Amazon EBS. Operasi enkripsi kemudian terjadi pada server yang meng-host instans Amazon EC2, yang membantu memastikan keamanan data saat istirahat dan data dalam perjalanan antara instans dan penyimpanan EBS terlampir. Enkripsi Amazon EBS adalah solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans EC2 Anda. Dengan enkripsi EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi EBS digunakan AWS KMS keys saat membuat volume terenkripsi.

**Catatan**  
Kontrol ini tidak menghasilkan temuan untuk permintaan Armada Spot Amazon EC2 yang menggunakan templat peluncuran. Ini juga tidak menghasilkan temuan untuk permintaan Spot Fleet yang tidak secara eksplisit menentukan nilai untuk parameter. `encrypted`

### Remediasi
<a name="ec2-173-remediation"></a>

Tidak ada cara langsung untuk mengenkripsi volume Amazon EBS yang sudah ada dan tidak terenkripsi. Anda dapat mengenkripsi volume baru hanya ketika Anda membuatnya.

Namun, jika Anda mengaktifkan enkripsi secara default, Amazon EBS mengenkripsi volume baru dengan menggunakan kunci default Anda untuk enkripsi EBS. Jika Anda tidak mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat membuat volume individual. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk enkripsi EBS dan memilih pelanggan yang dikelola. AWS KMS key Untuk informasi selengkapnya tentang enkripsi EBS, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di Panduan Pengguna *Amazon EBS*.

Untuk informasi tentang membuat permintaan Armada Spot Amazon EC2, lihat [Membuat Armada Spot di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) *Amazon Elastic Compute Cloud*.

## [EC2.174] Set opsi EC2 DHCP harus ditandai
<a name="ec2-174"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::DHCPOptions`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah set opsi Amazon EC2 DHCP memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika set opsi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika set opsi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-174-remediation"></a>

*Untuk informasi tentang menambahkan tag ke set opsi Amazon EC2 DHCP, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.175] Templat peluncuran EC2 harus diberi tag
<a name="ec2-175"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah template peluncuran Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika template peluncuran tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika templat peluncuran tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-175-remediation"></a>

Untuk informasi tentang menambahkan tag ke templat peluncuran Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.176] Daftar awalan EC2 harus ditandai
<a name="ec2-176"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::PrefixList`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah daftar awalan Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika daftar awalan tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika daftar awalan tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-176-remediation"></a>

*Untuk informasi tentang menambahkan tag ke daftar awalan Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*

## [EC2.177] Sesi cermin lalu lintas EC2 harus ditandai
<a name="ec2-177"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorSession`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah sesi cermin lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika sesi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sesi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-177-remediation"></a>

Untuk informasi tentang menambahkan tag ke sesi cermin lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.178] Filter cermin lalu lintas EC2 harus ditandai
<a name="ec2-178"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorFilter`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah filter cermin lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika filter tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika filter tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-178-remediation"></a>

Untuk informasi tentang menambahkan tag ke filter cermin lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.179] Target cermin lalu lintas EC2 harus ditandai
<a name="ec2-179"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EC2::TrafficMirrorTarget`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah target mirror lalu lintas Amazon EC2 memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika target tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika target tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ec2-179-remediation"></a>

Untuk informasi tentang menambahkan tag ke target mirror lalu lintas Amazon EC2, lihat [Menandai sumber daya Amazon EC2 Anda di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) Pengguna Amazon *EC2*.

## [EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
<a name="ec2-180"></a>

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::NetworkInterface`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini source/destination memeriksa apakah pemeriksaan diaktifkan untuk elastic network interface (ENI) Amazon EC2 yang dikelola oleh pengguna. Kontrol gagal jika source/destination pemeriksaan dinonaktifkan untuk ENI yang dikelola pengguna. Kontrol ini hanya memeriksa jenis berikut ENIs:`aws_codestar_connections_managed`,, `branch``efa`,`interface`,`lambda`, dan`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidasi alamat, yang memastikan bahwa sebuah instance adalah sumber atau tujuan dari setiap lalu lintas yang diterimanya. Ini memberikan lapisan tambahan keamanan jaringan dengan mencegah sumber daya menangani lalu lintas yang tidak diinginkan dan mencegah spoofing alamat IP.

**catatan**  
Jika Anda menggunakan instans EC2 sebagai instans NAT dan Anda menonaktifkan source/destination pemeriksaan ENI-nya, Anda dapat menggunakan gateway [NAT sebagai gantinya](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).

### Remediasi
<a name="ec2-180-remediation"></a>

Untuk informasi tentang mengaktifkan source/destination pemeriksaan untuk Amazon EC2 ENI, [lihat Memodifikasi atribut antarmuka jaringan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) di Panduan Pengguna *Amazon EC2*.

## [EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
<a name="ec2-181"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EC2::LaunchTemplate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah template peluncuran Amazon EC2 memungkinkan enkripsi untuk semua volume EBS terlampir. Kontrol gagal jika parameter enkripsi disetel ke `False` volume EBS apa pun yang ditentukan oleh templat peluncuran EC2.

Enkripsi Amazon EBS adalah solusi enkripsi langsung untuk sumber daya EBS yang terkait dengan instans Amazon EC2. Dengan enkripsi EBS, Anda tidak perlu membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Enkripsi EBS digunakan AWS KMS keys saat membuat volume dan snapshot terenkripsi. Operasi enkripsi terjadi pada server yang meng-host instans EC2, yang membantu memastikan keamanan data saat istirahat dan data dalam perjalanan antara instans EC2 dan penyimpanan EBS terlampir. Untuk informasi selengkapnya, lihat [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Pengguna Amazon EBS*.

Anda dapat mengaktifkan enkripsi EBS selama peluncuran manual instans EC2 individual. Namun, ada beberapa manfaat menggunakan templat peluncuran EC2 dan mengonfigurasi pengaturan enkripsi di templat tersebut. Anda dapat menerapkan enkripsi sebagai standar dan memastikan penggunaan pengaturan enkripsi yang konsisten. Anda juga dapat mengurangi risiko kesalahan dan kesenjangan keamanan yang mungkin terjadi dengan peluncuran instance secara manual.

**catatan**  
Ketika kontrol ini memeriksa template peluncuran EC2, itu hanya mengevaluasi pengaturan enkripsi EBS yang secara eksplisit ditentukan oleh template. Evaluasi tidak mencakup pengaturan enkripsi yang diwarisi dari pengaturan enkripsi EBS tingkat akun, pemetaan perangkat blok AMI, atau status enkripsi snapshot sumber.

### Remediasi
<a name="ec2-181-remediation"></a>

Setelah Anda membuat template peluncuran Amazon EC2, Anda tidak dapat memodifikasinya. Namun, Anda dapat membuat versi baru dari template peluncuran dan mengubah pengaturan enkripsi di versi baru template tersebut. Anda juga dapat menentukan versi baru sebagai versi default dari template peluncuran. Kemudian, jika Anda meluncurkan instans EC2 dari template peluncuran dan tidak menentukan versi template, EC2 menggunakan pengaturan versi default saat meluncurkan instance. Untuk informasi selengkapnya, lihat [Memodifikasi templat peluncuran](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) di *Panduan Pengguna Amazon EC2*.

## [EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik
<a name="ec2-182"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol memeriksa apakah blokir akses publik diaktifkan untuk memblokir semua berbagi snapshot Amazon EBS. Kontrol gagal jika memblokir akses publik tidak diaktifkan untuk memblokir semua berbagi untuk semua snapshot Amazon EBS.

Untuk mencegah berbagi foto Amazon EBS secara publik, Anda dapat mengaktifkan blokir akses publik untuk snapshot. Setelah memblokir akses publik untuk snapshot diaktifkan di Wilayah, setiap upaya untuk membagikan snapshot secara publik di Wilayah tersebut akan diblokir secara otomatis. Ini membantu meningkatkan keamanan snapshot dan melindungi data snapshot dari akses yang tidak sah atau tidak diinginkan. 

### Remediasi
<a name="ec2-182-remediation"></a>

Untuk mengaktifkan blokir akses publik untuk snapshot, lihat [Mengonfigurasi blokir akses publik untuk snapshot Amazon EBS di Panduan](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) Pengguna *Amazon EBS*. Untuk **Blokir akses publik**, pilih **Blokir semua akses publik**.

# Kontrol CSPM Security Hub untuk Auto Scaling
<a name="autoscaling-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon EC2 Auto Scaling.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB
<a name="autoscaling-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.2,, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup Amazon EC2 Auto Scaling yang terkait dengan penyeimbang beban menggunakan pemeriksaan kesehatan Elastic Load Balancing (ELB). Kontrol gagal jika grup Auto Scaling tidak menggunakan pemeriksaan kesehatan ELB.

Pemeriksaan kesehatan ELB membantu memastikan bahwa grup Auto Scaling dapat menentukan kesehatan instans berdasarkan tes tambahan yang disediakan oleh penyeimbang beban. Menggunakan pemeriksaan kesehatan Elastic Load Balancing juga membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto EC2 Scaling.

### Remediasi
<a name="autoscaling-1-remediation"></a>

Untuk menambahkan pemeriksaan kesehatan Elastic Load Balancing, lihat [Menambahkan pemeriksaan kesehatan Menambahkan Elastic Load Balancing di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) Pengguna Amazon *Auto EC2 Scaling.*

## [AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
<a name="autoscaling-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon mencakup setidaknya jumlah Availability Zone () yang ditentukan. AZs Kontrol gagal jika grup Auto Scaling tidak menjangkau setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Grup Auto Scaling yang tidak menjangkau beberapa instans tidak AZs dapat meluncurkan instance di AZ lain untuk mengkompensasi jika AZ tunggal yang dikonfigurasi menjadi tidak tersedia. Namun, grup Auto Scaling dengan satu Availability Zone mungkin lebih disukai dalam beberapa kasus penggunaan, seperti pekerjaan batch atau ketika biaya transfer antar-AZ harus dijaga seminimal mungkin. Dalam kasus seperti itu, Anda dapat menonaktifkan kontrol ini atau menekan temuannya. 

### Remediasi
<a name="autoscaling-2-remediation"></a>

Untuk menambahkan AZs ke grup Auto Scaling yang ada, lihat [Menambahkan dan menghapus Availability Zone](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) di Panduan Pengguna *Amazon Auto EC2 Scaling*.

## [AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2
<a name="autoscaling-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah IMDSv2 diaktifkan pada semua instans yang diluncurkan oleh grup EC2 Auto Scaling Amazon. Kontrol gagal jika versi Instance Metadata Service (IMDS) tidak disertakan dalam konfigurasi peluncuran atau dikonfigurasi sebagai`token optional`, yang merupakan pengaturan yang memungkinkan salah satu atau. IMDSv1 IMDSv2

IMDS menyediakan data tentang instans yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan.

IMDS versi 2 menambahkan perlindungan baru yang tidak tersedia IMDSv1 untuk melindungi instans Anda lebih lanjut. EC2 

### Remediasi
<a name="autoscaling-3-remediation"></a>

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru dengan IMDSv2 diaktifkan. Untuk informasi selengkapnya, lihat [Mengonfigurasi opsi metadata instans untuk instance baru](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) di Panduan Pengguna *Amazon EC2 *.

## [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1
<a name="autoscaling-4"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa jumlah hop jaringan yang dapat ditempuh oleh token metadata. Kontrol gagal jika batas hop respons metadata lebih besar dari. `1`

Layanan Metadata Instance (IMDS) menyediakan informasi metadata tentang EC2 instans Amazon dan berguna untuk konfigurasi aplikasi. Membatasi `PUT` respons HTTP untuk layanan metadata hanya untuk EC2 instance yang melindungi IMDS dari penggunaan yang tidak sah.

Bidang Time To Live (TTL) dalam paket IP dikurangi satu pada setiap hop. Pengurangan ini dapat digunakan untuk memastikan bahwa paket tidak bepergian ke luar EC2. IMDSv2 melindungi EC2 instance yang mungkin salah dikonfigurasi sebagai router terbuka, firewall lapisan 3, terowongan, atau perangkat NAT VPNs, yang mencegah pengguna yang tidak sah mengambil metadata. Dengan IMDSv2, `PUT` respons yang berisi token rahasia tidak dapat berjalan di luar instance karena batas hop respons metadata default disetel ke. `1` Namun, jika nilai ini lebih besar dari`1`, token dapat meninggalkan EC2 instance. 

### Remediasi
<a name="autoscaling-4-remediation"></a>

*Untuk mengubah batas hop respons metadata untuk konfigurasi peluncuran yang ada, lihat [Memodifikasi opsi metadata instans untuk instance yang ada di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) Amazon. EC2 *

## [Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik
<a name="autoscaling-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi peluncuran terkait grup Auto Scaling menetapkan [alamat IP publik ke instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) grup. Kontrol gagal jika konfigurasi peluncuran terkait menetapkan alamat IP publik.

 EC2 Instans Amazon dalam konfigurasi peluncuran grup Auto Scaling tidak boleh memiliki alamat IP publik terkait, kecuali dalam kasus edge terbatas. EC2 Instans Amazon seharusnya hanya dapat diakses dari belakang penyeimbang beban alih-alih langsung terpapar ke internet.

### Remediasi
<a name="autoscaling-5-remediation"></a>

Grup Auto Scaling dikaitkan dengan satu konfigurasi peluncuran pada satu waktu. Anda tidak dapat mengubah konfigurasi peluncuran setelah Anda membuatnya. Untuk mengubah konfigurasi peluncuran untuk grup Auto Scaling, gunakan konfigurasi peluncuran yang ada sebagai dasar untuk konfigurasi peluncuran baru. Lalu, perbarui grup Auto Scaling Anda untuk menggunakan konfigurasi peluncuran baru. Untuk step-by-step petunjuknya, lihat [Mengubah konfigurasi peluncuran untuk grup Auto Scaling di Panduan](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) Pengguna *Amazon Auto EC2 Scaling*. Saat membuat konfigurasi peluncuran baru, di bawah **Konfigurasi tambahan**, untuk **detail lanjutan, jenis alamat IP**, pilih **Jangan tetapkan alamat IP publik ke instance apa pun**.

Setelah Anda mengubah konfigurasi peluncuran, Auto Scaling meluncurkan instance baru dengan opsi konfigurasi baru. Instance yang ada tidak terpengaruh. Untuk memperbarui instans yang ada, kami sarankan Anda menyegarkan instans Anda, atau mengizinkan penskalaan otomatis untuk secara bertahap mengganti instans lama dengan instans yang lebih baru berdasarkan kebijakan penghentian Anda. *Untuk informasi selengkapnya tentang memperbarui instans Auto Scaling, lihat Memperbarui instans [Auto Scaling di Panduan Pengguna Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) Auto Scaling. EC2 *

## [AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone
<a name="autoscaling-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon menggunakan beberapa jenis instans. Kontrol gagal jika grup Auto Scaling hanya memiliki satu jenis instance yang ditentukan.

Anda dapat meningkatkan ketersediaan dengan menerapkan aplikasi Anda di beberapa jenis instance yang berjalan di beberapa Availability Zone. Security Hub CSPM merekomendasikan penggunaan beberapa jenis instans sehingga grup Auto Scaling dapat meluncurkan jenis instans lain jika kapasitas instans tidak mencukupi di Availability Zone yang Anda pilih.

### Remediasi
<a name="autoscaling-6-remediation"></a>

Untuk membuat grup Auto Scaling dengan beberapa jenis instans, lihat grup [Auto Scaling dengan beberapa jenis instans dan opsi pembelian](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) di Panduan Pengguna Amazon *Auto EC2 Scaling*.

## [AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
<a name="autoscaling-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon dibuat dari template EC2 peluncuran. Kontrol ini gagal jika grup EC2 Auto Scaling Amazon tidak dibuat dengan templat peluncuran atau jika templat peluncuran tidak ditentukan dalam kebijakan instance campuran.

Grup EC2 Auto Scaling dapat dibuat dari template EC2 peluncuran atau konfigurasi peluncuran. Namun, menggunakan template peluncuran untuk membuat grup Auto Scaling memastikan bahwa Anda memiliki akses ke fitur dan peningkatan terbaru.

### Remediasi
<a name="autoscaling-9-remediation"></a>

Untuk membuat grup Auto Scaling dengan template EC2 peluncuran, lihat [Membuat grup Auto Scaling menggunakan template peluncuran di Panduan Pengguna](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) Amazon *Auto EC2 Scaling*. Untuk informasi tentang cara mengganti konfigurasi peluncuran dengan templat peluncuran, lihat [Mengganti konfigurasi peluncuran dengan templat peluncuran](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) di *Panduan EC2 Pengguna Amazon*.

## [AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag
<a name="autoscaling-10"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config aturan:** `tagged-autoscaling-autoscalinggroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup EC2 Auto Scaling Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup Auto Scaling tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup Auto Scaling tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="autoscaling-10-remediation"></a>

Untuk menambahkan tag ke grup Auto Scaling, lihat [Menandai grup dan instance Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) di Panduan Pengguna *Amazon EC2 Auto Scaling*.

# Kontrol CSPM Security Hub untuk Amazon ECR
<a name="ecr-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Registry (Amazon ECR).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
<a name="ecr-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.3, PCI DSS v4.0.1/6.2.4

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori Amazon ECR pribadi memiliki pemindaian gambar yang dikonfigurasi. Kontrol gagal jika repositori ECR pribadi tidak dikonfigurasi untuk pemindaian saat push atau pemindaian berkelanjutan.

Pemindaian gambar ECR membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Mengkonfigurasi pemindaian gambar pada repositori ECR menambahkan lapisan verifikasi untuk integritas dan keamanan gambar yang disimpan.

### Remediasi
<a name="ecr-1-remediation"></a>

Untuk mengonfigurasi pemindaian gambar untuk repositori ECR, lihat [Pemindaian gambar](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) di Panduan Pengguna *Amazon Elastic Container Registry*.

## [ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
<a name="ecr-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-8 (1)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori ECR pribadi memiliki kekekalan tag yang diaktifkan. Kontrol ini gagal jika repositori ECR pribadi menonaktifkan kekekalan tag. Aturan ini berlaku jika kekekalan tag diaktifkan dan memiliki nilai. `IMMUTABLE`

Amazon ECR Tag Immutability memungkinkan pelanggan untuk mengandalkan tag deskriptif gambar sebagai mekanisme yang andal untuk melacak dan mengidentifikasi gambar secara unik. Tag yang tidak dapat diubah bersifat statis, yang berarti setiap tag mengacu pada gambar yang unik. Ini meningkatkan keandalan dan skalabilitas karena penggunaan tag statis akan selalu menghasilkan gambar yang sama yang digunakan. Saat dikonfigurasi, kekekalan tag mencegah tag diganti, yang mengurangi permukaan serangan.

### Remediasi
<a name="ecr-2-remediation"></a>

*Untuk membuat repositori dengan tag yang tidak dapat diubah yang dikonfigurasi atau memperbarui setelan mutabilitas tag gambar untuk repositori yang ada, lihat Mutabilitas [tag gambar di Panduan Pengguna Registri Amazon Elastic Container](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html).*

## [ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
<a name="ecr-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah repositori Amazon ECR memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi. Kontrol ini gagal jika repositori ECR tidak memiliki kebijakan siklus hidup yang dikonfigurasi.

Kebijakan siklus hidup Amazon ECR memungkinkan Anda untuk menentukan manajemen siklus hidup citra dalam repositori. Dengan mengonfigurasi kebijakan siklus hidup, Anda dapat mengotomatiskan pembersihan gambar yang tidak digunakan dan kedaluwarsa gambar berdasarkan usia atau hitungan. Mengotomatiskan tugas-tugas ini dapat membantu Anda menghindari penggunaan gambar usang secara tidak sengaja di repositori Anda.

### Remediasi
<a name="ecr-3-remediation"></a>

Untuk mengonfigurasi kebijakan siklus hidup, lihat [Membuat pratinjau kebijakan siklus hidup di](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) Panduan Pengguna *Amazon Elastic Container Registry*.

## [ECR.4] Repositori publik ECR harus ditandai
<a name="ecr-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECR::PublicRepository`

**AWS Config aturan:** `tagged-ecr-publicrepository` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah repositori publik Amazon ECR memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika repositori publik tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika repositori publik tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecr-4-remediation"></a>

Untuk menambahkan tag ke repositori publik ECR, lihat [Menandai repositori publik Amazon ECR di Panduan Pengguna Registri *Amazon* Elastic](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) Container.

## [ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys
<a name="ecr-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), Nist.800-53.R5 AU-9

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECR::Repository`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika repositori ECR tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 10 item)  |  1—10 kunci ARNs KMS yang ada. Misalnya: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah repositori Amazon ECR dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika repositori ECR tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Secara default, Amazon ECR mengenkripsi data repositori dengan kunci terkelola Amazon S3 (SSE-S3), menggunakan algoritma AES-256. Untuk kontrol tambahan, Anda dapat mengonfigurasi Amazon ECR untuk mengenkripsi data dengan AWS KMS key (SSE-KMS atau DSSE-KMS) sebagai gantinya. Kunci KMS dapat berupa: sebuah Kunci yang dikelola AWS yang Amazon ECR buat dan kelola untuk Anda dan memiliki alias`aws/ecr`, atau kunci yang dikelola pelanggan yang Anda buat dan kelola di Anda. Akun AWS Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.

**catatan**  
AWS KMS mendukung akses lintas akun ke kunci KMS. Jika repositori ECR dienkripsi dengan kunci KMS yang dimiliki oleh akun lain, kontrol ini tidak melakukan pemeriksaan lintas akun saat mengevaluasi repositori. Kontrol tidak menilai apakah Amazon ECR dapat mengakses dan menggunakan kunci saat melakukan operasi kriptografi untuk repositori.

### Remediasi
<a name="ecr-5-remediation"></a>

Anda tidak dapat mengubah pengaturan enkripsi untuk repositori ECR yang ada. Namun, Anda dapat menentukan pengaturan enkripsi yang berbeda untuk repositori ECR yang kemudian Anda buat. Amazon ECR mendukung penggunaan pengaturan enkripsi yang berbeda untuk masing-masing repositori.

Untuk informasi selengkapnya tentang opsi enkripsi untuk repositori ECR, lihat [Enkripsi saat istirahat di Panduan](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) Pengguna *Amazon ECR*. Untuk informasi selengkapnya tentang pelanggan yang dikelola AWS KMS keys, lihat [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)di *Panduan AWS Key Management Service Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon ECS
<a name="ecs-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Service (Amazon ECS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna
<a name="ecs-1"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada Maret 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). Anda dapat merujuk ke kontrol berikut untuk evaluasi konfigurasi istimewa, konfigurasi mode jaringan, dan konfigurasi pengguna:   
 [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](#ecs-4) 
 [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](#ecs-17) 
 [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](#ecs-20) 
 [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](#ecs-21) 

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `SkipInactiveTaskDefinitions`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif dengan mode jaringan host memiliki `privileged` atau definisi `user` kontainer. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah`privileged=false`, kosong dan`user=root`, atau kosong.

Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Tujuan dari kontrol ini adalah untuk memastikan bahwa akses didefinisikan dengan sengaja ketika Anda menjalankan tugas yang menggunakan mode jaringan host. Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena Anda telah memilih konfigurasi itu. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host, dan Anda tidak memilih hak istimewa yang ditinggikan.

### Remediasi
<a name="ecs-1-remediation"></a>

Untuk informasi tentang cara memperbarui definisi tugas, lihat [Memperbarui definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

Saat Anda memperbarui definisi tugas, itu tidak memperbarui tugas yang sedang berjalan yang diluncurkan dari definisi tugas sebelumnya. Untuk memperbarui tugas yang sedang berjalan, Anda harus menerapkan ulang tugas dengan definisi tugas baru.

## [ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis
<a name="ecs-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan:** `ecs-service-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah layanan Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol ini gagal jika `AssignPublicIP` ada`ENABLED`. Kontrol ini lolos jika `AssignPublicIP` ada`DISABLED`.

Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Amazon ECS Anda dengan alamat IP publik, maka instans Amazon ECS Anda dapat dijangkau dari internet. Layanan Amazon ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.

### Remediasi
<a name="ecs-2-remediation"></a>

Pertama, Anda harus membuat definisi tugas untuk cluster Anda yang menggunakan mode `awsvpc` jaringan dan menentukan **FARGATE** untuk. `requiresCompatibilities` Kemudian, untuk **konfigurasi Compute**, pilih **Launch type** dan **FARGATE**. Terakhir, untuk bidang **Jaringan**, matikan **IP Publik** untuk menonaktifkan penugasan IP publik otomatis untuk layanan Anda.

## [ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
<a name="ecs-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas Amazon ECS dikonfigurasi untuk berbagi namespace proses host dengan kontainernya. Kontrol gagal jika definisi tugas membagikan namespace proses host dengan wadah yang berjalan di atasnya. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Namespace ID proses (PID) menyediakan pemisahan antar proses. Ini mencegah proses sistem agar tidak terlihat, dan memungkinkan PIDs untuk digunakan kembali, termasuk PID 1. Jika namespace PID host dibagikan dengan kontainer, itu akan memungkinkan kontainer untuk melihat semua proses pada sistem host. Ini mengurangi manfaat isolasi tingkat proses antara host dan wadah. Keadaan ini dapat menyebabkan akses tidak sah ke proses pada host itu sendiri, termasuk kemampuan untuk memanipulasi dan menghentikannya. Pelanggan tidak boleh membagikan namespace proses host dengan wadah yang berjalan di atasnya.

### Remediasi
<a name="ecs-3-remediation"></a>

Untuk mengonfigurasi definisi tugas, lihat [Parameter definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) di Panduan Pengembang Layanan Amazon Elastic Container. `pidMode`

## [ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa
<a name="ecs-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah `privileged` parameter dalam definisi penampung Definisi Tugas Amazon ECS disetel ke`true`. Kontrol gagal jika parameter ini sama dengan`true`. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Kami menyarankan Anda menghapus hak istimewa yang ditinggikan dari definisi tugas ECS Anda. Ketika parameter privilege adalah`true`, wadah diberikan hak istimewa yang ditinggikan pada instance wadah host (mirip dengan pengguna root).

### Remediasi
<a name="ecs-4-remediation"></a>

Untuk mengonfigurasi `privileged` parameter pada definisi tugas, lihat [Parameter definisi kontainer lanjutan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) di Panduan Pengembang Layanan Kontainer Elastis Amazon.

## [ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root
<a name="ecs-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas ECS mengonfigurasi kontainer agar dibatasi pada akses hanya-baca ke sistem file root yang dipasang. Kontrol gagal jika `readonlyRootFilesystem` parameter dalam definisi wadah definisi tugas ECS disetel ke`false`, atau parameter tidak ada dalam definisi wadah dalam definisi tugas. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

Jika `readonlyRootFilesystem` parameter disetel ke `true` dalam definisi tugas Amazon ECS, wadah ECS diberikan akses hanya-baca ke sistem file root-nya. Ini mengurangi vektor serangan keamanan karena sistem file root instance container tidak dapat dirusak atau ditulis tanpa mount volume eksplisit yang memiliki izin baca-tulis untuk folder dan direktori sistem file. Mengaktifkan opsi ini juga mematuhi prinsip hak istimewa paling sedikit.

**catatan**  
`readonlyRootFilesystem`Parameter tidak didukung untuk wadah Windows. Definisi tugas dengan `runtimePlatform` dikonfigurasi untuk menentukan keluarga `WINDOWS_SERVER` OS ditandai sebagai `NOT_APPLICABLE` dan tidak akan menghasilkan temuan untuk kontrol ini. 

### Remediasi
<a name="ecs-5-remediation"></a>

Untuk memberikan akses read-only container Amazon ECS ke sistem file root, tambahkan `readonlyRootFilesystem` parameter ke definisi tugas untuk container, dan tetapkan nilai untuk parameter tersebut. `true` Untuk informasi tentang parameter definisi tugas dan cara menambahkannya ke definisi tugas, lihat definisi tugas [Amazon ECS dan [Memperbarui](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

## [ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
<a name="ecs-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2

**Kategori:** Lindungi > Pengembangan aman > Kredensyal tidak dikodekan dengan keras

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`secretKeys`:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (tidak dapat disesuaikan) 

Kontrol ini memeriksa apakah nilai kunci dari setiap variabel dalam `environment` parameter definisi kontainer termasuk`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini gagal jika variabel lingkungan tunggal dalam definisi kontainer sama`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini tidak mencakup variabel lingkungan yang diteruskan dari lokasi lain seperti Amazon S3. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.

AWS Systems Manager Parameter Store dapat membantu Anda meningkatkan postur keamanan organisasi Anda. Sebaiknya gunakan Parameter Store untuk menyimpan rahasia dan kredensyal alih-alih langsung meneruskannya ke instance kontainer Anda atau mengkodekannya dengan keras ke dalam kode Anda.

### Remediasi
<a name="ecs-8-remediation"></a>

Untuk membuat parameter menggunakan SSM, lihat [Membuat parameter Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) di *Panduan AWS Systems Manager Pengguna*. Untuk informasi selengkapnya tentang membuat definisi tugas yang menentukan rahasia, lihat Menentukan [data sensitif menggunakan Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) di Panduan *Pengembang Layanan Amazon Elastic Container*.

## [ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
<a name="ecs-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: ecs-task-definition-log** [-konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif terbaru memiliki konfigurasi logging yang ditentukan. Kontrol gagal jika definisi tugas tidak memiliki `logConfiguration` properti yang ditentukan atau jika nilai untuk `logDriver` adalah nol dalam setidaknya satu definisi kontainer.

Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja Amazon ECS. Mengumpulkan data dari definisi tugas memberikan visibilitas, yang dapat membantu Anda men-debug proses dan menemukan akar penyebab kesalahan. Jika Anda menggunakan solusi logging yang tidak harus didefinisikan dalam definisi tugas ECS (seperti solusi logging pihak ketiga), Anda dapat menonaktifkan kontrol ini setelah memastikan bahwa log Anda ditangkap dan dikirim dengan benar.

### Remediasi
<a name="ecs-9-remediation"></a>

Untuk menentukan konfigurasi log untuk definisi tugas Amazon ECS Anda, lihat [Menentukan konfigurasi log dalam definisi tugas Anda di Panduan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Pengembang Layanan Amazon Elastic Container*.

## [ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
<a name="ecs-10"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `latestLinuxVersion: 1.4.0`(tidak dapat disesuaikan)
+ `latestWindowsVersion: 1.0.0`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Kontrol ini gagal jika versi platform bukan yang terbaru.

AWS Fargate Versi platform mengacu pada lingkungan runtime tertentu untuk infrastruktur tugas Fargate, yang merupakan kombinasi dari versi runtime kernel dan container. Versi platform baru dirilis saat lingkungan runtime berkembang. Misalnya, versi baru dapat dirilis untuk pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Pembaruan dan tambalan keamanan diterapkan secara otomatis untuk tugas Fargate Anda. Jika ditemukan masalah keamanan yang memengaruhi versi platform, AWS tambal versi platform. 

### Remediasi
<a name="ecs-10-remediation"></a>

Untuk memperbarui layanan yang ada, termasuk versi platformnya, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

## [ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer
<a name="ecs-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster ECS menggunakan Wawasan Kontainer. Kontrol ini gagal jika Wawasan Kontainer tidak disiapkan untuk klaster.

Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja klaster Amazon ECS. Gunakan CloudWatch Wawasan Kontainer untuk mengumpulkan, menggabungkan, dan meringkas metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. CloudWatch Secara otomatis mengumpulkan metrik untuk banyak sumber daya, seperti CPU, memori, disk, dan jaringan. Wawasan Kontainer juga akan menyediakan informasi diagnostik, seperti kegagalan mengulang kembali kontainer, untuk membantu Anda melakukan isolasi atas masalah dan mengatasi masalah itu dengan cepat. Anda juga dapat menyetel CloudWatch alarm pada metrik yang dikumpulkan Container Insights.

### Remediasi
<a name="ecs-12-remediation"></a>

Untuk menggunakan Wawasan Penampung, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) di *Panduan CloudWatch Pengguna Amazon*.

## [ECS.13] Layanan ECS harus ditandai
<a name="ecs-13"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::Service`

**AWS Config aturan:** `tagged-ecs-service` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah layanan Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-13-remediation"></a>

Untuk menambahkan tag ke layanan ECS, lihat [Menandai resource Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) Anda di Panduan Pengembang *Layanan Kontainer Elastis Amazon*.

## [ECS.14] Cluster ECS harus ditandai
<a name="ecs-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::Cluster`

**AWS Config aturan:** `tagged-ecs-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-14-remediation"></a>

Untuk menambahkan tag ke cluster ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.

## [ECS.15] Definisi tugas ECS harus ditandai
<a name="ecs-15"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan:** `tagged-ecs-taskdefinition` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah definisi tugas Amazon ECS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika definisi tugas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika definisi tugas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ecs-15-remediation"></a>

Untuk menambahkan tag ke definisi tugas ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.

## [ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
<a name="ecs-16"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ECS::TaskSet`

**AWS Config aturan:** `ecs-taskset-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah set tugas Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol gagal jika `AssignPublicIP` disetel ke`ENABLED`.

Alamat IP publik dapat dijangkau dari internet. Jika Anda mengonfigurasi set tugas Anda dengan alamat IP publik, sumber daya yang terkait dengan kumpulan tugas dapat dijangkau dari internet. Kumpulan tugas ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.

### Remediasi
<a name="ecs-16-remediation"></a>

Untuk memperbarui set tugas ECS agar tidak menggunakan alamat IP publik, lihat [Memperbarui definisi tugas Amazon ECS menggunakan konsol di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Layanan Amazon Elastic Container*.

## [ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
<a name="ecs-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan mode `host` jaringan. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS menggunakan mode `host` jaringan.

Saat menggunakan mode `host` jaringan, jaringan wadah Amazon ECS terikat langsung ke host yang mendasari yang menjalankan penampung. Akibatnya, mode ini memungkinkan kontainer untuk terhubung ke layanan jaringan loopback pribadi pada host dan untuk meniru host. Kelemahan signifikan lainnya adalah tidak ada cara untuk memetakan ulang port kontainer saat menggunakan mode `host` jaringan, dan Anda tidak dapat menjalankan lebih dari satu instance tugas di setiap host.

### Remediasi
<a name="ecs-17-remediation"></a>

Untuk informasi tentang mode jaringan dan opsi untuk tugas Amazon ECS yang dihosting di instans Amazon EC2, lihat [opsi jaringan tugas Amazon ECS untuk jenis peluncuran EC2 di Panduan Pengembang Layanan Kontainer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) Elastis *Amazon*. Untuk informasi tentang membuat revisi baru definisi tugas dan menentukan mode jaringan yang berbeda, lihat [Memperbarui definisi tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dalam panduan tersebut.

Jika definisi tugas Amazon ECS dibuat oleh AWS Batch, lihat [Mode jaringan untuk AWS Batch pekerjaan untuk](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) mempelajari tentang mode jaringan dan penggunaan umum untuk jenis AWS Batch pekerjaan dan untuk memilih opsi yang aman.

## [ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
<a name="ecs-18"></a>

**Kategori:** Lindungi > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan enkripsi dalam transit untuk volume EFS. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS memiliki enkripsi dalam transit dinonaktifkan untuk volume EFS.

Volume Amazon EFS menyediakan penyimpanan file bersama yang sederhana, dapat diskalakan, dan persisten untuk digunakan dengan tugas Amazon ECS Anda. Amazon EFS mendukung enkripsi data dalam perjalanan dengan Transport Layer Security (TLS). Saat enkripsi data dalam perjalanan dinyatakan sebagai opsi pemasangan untuk sistem file EFS Anda, Amazon EFS membuat koneksi TLS yang aman dengan sistem file EFS Anda saat memasang sistem file Anda.

### Remediasi
<a name="ecs-18-remediation"></a>

Untuk informasi tentang mengaktifkan enkripsi dalam perjalanan untuk Definisi Tugas Amazon ECS dengan volume EFS, lihat [Langkah 5: Membuat definisi tugas di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) *Layanan Amazon Elastic Container*.

## [ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan
<a name="ecs-19"></a>

**Kategori:** Lindungi > Perlindungan Data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::CapacityProvider`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penyedia kapasitas Amazon ECS telah mengelola perlindungan penghentian yang diaktifkan. Kontrol gagal jika perlindungan terminasi terkelola tidak diaktifkan pada penyedia kapasitas ECS.

Penyedia kapasitas Amazon ECS mengelola penskalaan infrastruktur untuk tugas di cluster Anda. Saat menggunakan instans EC2 untuk kapasitas Anda, Anda menggunakan grup Auto Scaling untuk mengelola instans EC2. Perlindungan terminasi terkelola memungkinkan penskalaan otomatis cluster untuk mengontrol instance mana yang dihentikan. Saat Anda menggunakan perlindungan penghentian terkelola, Amazon ECS hanya menghentikan instans EC2 yang tidak menjalankan tugas Amazon ECS.

**catatan**  
Saat menggunakan perlindungan terminasi terkelola, penskalaan terkelola juga harus digunakan jika tidak, perlindungan terminasi terkelola tidak berfungsi.

### Remediasi
<a name="ecs-19-remediation"></a>

Untuk mengaktifkan perlindungan penghentian terkelola bagi penyedia kapasitas Amazon ECS, lihat [Memperbarui perlindungan penghentian terkelola untuk penyedia kapasitas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) di Panduan *Pengembang Layanan Amazon Elastic Container*.

## [ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
<a name="ecs-20"></a>

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Linux untuk dijalankan sebagai pengguna non-root. Kontrol gagal jika pengguna root default dikonfigurasi atau konfigurasi pengguna tidak ada untuk wadah apa pun.

Ketika wadah Linux berjalan dengan hak akses root, mereka menimbulkan beberapa risiko keamanan yang signifikan. Pengguna root memiliki akses tidak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya. Jika kontainer yang berjalan sebagai root dikompromikan, penyerang dapat mengeksploitasi ini untuk mengakses atau memodifikasi sumber daya sistem host, yang memengaruhi wadah lain atau host itu sendiri. Selain itu, akses root dapat mengaktifkan serangan eskalasi hak istimewa, memungkinkan penyerang untuk mendapatkan izin tambahan di luar cakupan wadah yang dimaksudkan. Parameter pengguna dalam definisi tugas ECS dapat menentukan pengguna dalam beberapa format, termasuk nama pengguna, ID pengguna, nama pengguna dengan grup, atau UID dengan ID grup. Penting untuk mengetahui berbagai format ini saat mengonfigurasi definisi tugas untuk memastikan tidak ada akses root yang diberikan secara tidak sengaja. Mengikuti prinsip hak istimewa terkecil, kontainer harus berjalan dengan izin minimum yang diperlukan menggunakan pengguna non-root. Pendekatan ini secara signifikan mengurangi potensi permukaan serangan dan mengurangi dampak dari potensi pelanggaran keamanan. 

**catatan**  
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `LINUX` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai pengguna root default. Pengguna root default untuk `LINUX` kontainer adalah `"root"` dan`"0"`.

### Remediasi
<a name="ecs-20-remediation"></a>

Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.

## [ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows
<a name="ecs-21"></a>

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ECS::TaskDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Windows untuk dijalankan sebagai pengguna yang bukan administrator default. Kontrol gagal jika administrator default dikonfigurasi sebagai konfigurasi pengguna atau pengguna tidak ada untuk wadah apa pun.

Ketika wadah Windows berjalan dengan hak administrator, mereka menimbulkan beberapa risiko keamanan yang signifikan. Administrator memiliki akses tak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya.

**catatan**  
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `WINDOWS_SERVER` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai administrator default untuk `WINDOWS_SERVER` wadah yang`"containeradministrator"`.

### Remediasi
<a name="ecs-21-remediation"></a>

Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.

# Kontrol CSPM Security Hub untuk Amazon EFS
<a name="efs-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic File System (Amazon EFS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
<a name="efs-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut.
+ `Encrypted`diatur ke `false` dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons.
+ `KmsKeyId`Kunci dalam [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)respons tidak cocok dengan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).

Perhatikan bahwa kontrol ini tidak menggunakan `KmsKeyId` parameter untuk [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Itu hanya memeriksa nilai`Encrypted`.

Untuk lapisan keamanan tambahan untuk data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file saat istirahat. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat [Enkripsi data di Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) di *Panduan Pengguna Amazon Elastic File System*.

### Remediasi
<a name="efs-1-remediation"></a>

Untuk detail tentang cara mengenkripsi sistem file Amazon EFS baru, lihat [Mengenkripsi data saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Amazon Elastic File System*.

## [EFS.2] Volume Amazon EFS harus dalam rencana cadangan
<a name="efs-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Cadangan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam paket cadangan. 

Menyertakan sistem file EFS dalam paket cadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.

### Remediasi
<a name="efs-2-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis untuk sistem file Amazon EFS yang ada, lihat [Memulai 4: Membuat cadangan otomatis Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) di Panduan Pengembang.AWS Backup *

## [EFS.3] Titik akses EFS harus menegakkan direktori root
<a name="efs-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-6 (10)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menerapkan direktori root. Kontrol gagal jika nilai `Path` diatur ke `/` (direktori root default dari sistem file).

Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. Menegakkan direktori root untuk titik akses membantu membatasi akses data dengan memastikan bahwa pengguna titik akses hanya dapat menjangkau file dari subdirektori yang ditentukan.

### Remediasi
<a name="efs-3-remediation"></a>

Untuk petunjuk tentang cara menerapkan direktori root untuk jalur akses Amazon EFS, lihat [Menerapkan direktori root dengan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) di *Panduan Pengguna Amazon Elastic File System*. 

## [EFS.4] Titik akses EFS harus menegakkan identitas pengguna
<a name="efs-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon EFS dikonfigurasi untuk menegakkan identitas pengguna. Kontrol ini gagal jika identitas pengguna POSIX tidak ditentukan saat membuat titik akses EFS.

Titik akses Amazon EFS adalah titik masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.

### Remediasi
<a name="efs-4-remediation"></a>

Untuk menerapkan identitas pengguna untuk jalur akses Amazon EFS, lihat [Menerapkan identitas pengguna menggunakan titik akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) di Panduan *Pengguna Amazon Elastic File System*. 

## [EFS.5] Titik akses EFS harus ditandai
<a name="efs-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EFS::AccessPoint`

**AWS Config aturan:** `tagged-efs-accesspoint` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah titik akses Amazon EFS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika titik akses tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika titik akses tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="efs-5-remediation"></a>

Untuk menambahkan tag ke titik akses EFS, lihat [Menandai resource Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) di *Panduan Pengguna Amazon Elastic File System*.

## [EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan
<a name="efs-6"></a>

**Kategori:** Lindungi > Keamanan jaringan > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah target pemasangan Amazon EFS dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan. Kontrol gagal jika target pemasangan dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan.

Subnet memiliki atribut yang menentukan apakah antarmuka jaringan secara otomatis menerima publik IPv4 dan IPv6 alamat. Untuk IPv4, atribut ini disetel ke `TRUE` untuk subnet default dan `FALSE` untuk subnet nondefault (dengan pengecualian untuk subnet nondefault yang dibuat melalui wizard instans peluncuran EC2, yang disetel ke). `TRUE` Untuk IPv6, atribut ini diatur ke `FALSE` untuk semua subnet secara default. Ketika atribut ini diaktifkan, instance yang diluncurkan di subnet secara otomatis menerima alamat IP yang sesuai (IPv4 atau IPv6) pada antarmuka jaringan utama mereka. Target pemasangan Amazon EFS yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.

### Remediasi
<a name="efs-6-remediation"></a>

Untuk mengaitkan target mount yang ada dengan subnet yang berbeda, Anda harus membuat target mount baru di subnet yang tidak menetapkan alamat IP publik saat peluncuran dan kemudian menghapus target mount lama. Untuk informasi tentang mengelola target mount, lihat [Membuat dan mengelola target mount dan grup keamanan](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) di *Panduan Pengguna Amazon Elastic File System*. 

## [EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
<a name="efs-7"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengaktifkan pencadangan otomatis. Kontrol ini gagal jika sistem file EFS tidak mengaktifkan pencadangan otomatis.

Cadangan data adalah salinan sistem, konfigurasi, atau data aplikasi Anda yang disimpan secara terpisah dari aslinya. Mengaktifkan pencadangan reguler membantu Anda melindungi data berharga dari peristiwa tak terduga seperti kegagalan sistem, serangan siber, atau penghapusan yang tidak disengaja. Memiliki strategi cadangan yang kuat juga memfasilitasi pemulihan yang lebih cepat, kelangsungan bisnis, dan ketenangan pikiran dalam menghadapi potensi kehilangan data.

### Remediasi
<a name="efs-7-remediation"></a>

Untuk informasi tentang penggunaan AWS Backup untuk sistem file EFS, lihat [Mencadangkan sistem file EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) di *Panduan Pengguna Amazon Elastic File System*.

## [EFS.8] Sistem file EFS harus dienkripsi saat istirahat
<a name="efs-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.3.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EFS::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon EFS mengenkripsi data dengan AWS Key Management Service ()AWS KMS. Kontrol gagal jika sistem file tidak dienkripsi.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="efs-8-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk sistem file EFS baru, lihat [Mengenkripsi data saat istirahat di](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) *Panduan Pengguna Amazon Elastic File System*.

# Kontrol CSPM Security Hub untuk Amazon EKS
<a name="eks-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Kubernetes Service (Amazon EKS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik
<a name="eks-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akhir kluster Amazon EKS dapat diakses publik. Kontrol gagal jika kluster EKS memiliki titik akhir yang dapat diakses publik.

Saat Anda membuat klaster baru, Amazon EKS membuat endpoint untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda. Secara default, titik akhir server API ini tersedia untuk umum di internet. Akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan Kubernetes Role Based Access Control (RBAC) asli. Dengan menghapus akses publik ke titik akhir, Anda dapat menghindari eksposur yang tidak disengaja dan akses ke cluster Anda.

### Remediasi
<a name="eks-1-remediation"></a>

Untuk mengubah akses titik akhir untuk kluster EKS yang ada, lihat [Memodifikasi akses titik akhir klaster di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) Pengguna **Amazon EKS**. Anda dapat mengatur akses titik akhir untuk kluster EKS baru saat membuatnya. Untuk petunjuk cara membuat kluster Amazon EKS baru, lihat [Membuat klaster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) di **Panduan Pengguna Amazon EKS**. 

## [EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
<a name="eks-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `oldestVersionSupported`: `1.33` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Kontrol gagal jika kluster EKS berjalan pada versi yang tidak didukung.

Jika aplikasi Anda tidak memerlukan versi Kubernetes tertentu, kami sarankan Anda menggunakan versi Kubernetes terbaru yang tersedia yang didukung oleh EKS untuk cluster Anda. **Untuk informasi selengkapnya, lihat [kalender rilis Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) dan [Memahami siklus hidup versi Kubernetes di Amazon EKS di Panduan Pengguna Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**

### Remediasi
<a name="eks-2-remediation"></a>

Untuk memperbarui kluster EKS, lihat [Memperbarui klaster yang ada ke versi Kubernetes baru di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) Pengguna **Amazon EKS**. 

## [EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
<a name="eks-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon EKS menggunakan rahasia Kubernetes terenkripsi. Kontrol gagal jika rahasia Kubernetes cluster tidak dienkripsi.

Saat Anda mengenkripsi rahasia, Anda dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk menyediakan enkripsi amplop rahasia Kubernetes yang disimpan di etcd untuk klaster Anda. Enkripsi ini merupakan tambahan dari enkripsi volume EBS yang diaktifkan secara default untuk semua data (termasuk rahasia) yang disimpan dalam etcd sebagai bagian dari cluster EKS. Menggunakan enkripsi rahasia untuk kluster EKS Anda memungkinkan Anda untuk menerapkan strategi pertahanan secara mendalam untuk aplikasi Kubernetes dengan mengenkripsi rahasia Kubernetes dengan kunci KMS yang Anda tentukan dan kelola.

### Remediasi
<a name="eks-3-remediation"></a>

Untuk mengaktifkan enkripsi rahasia pada kluster EKS, lihat [Mengaktifkan enkripsi rahasia pada klaster yang ada](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) di **Panduan Pengguna Amazon EKS**. 

## [EKS.6] Kluster EKS harus ditandai
<a name="eks-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan:** `tagged-eks-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eks-6-remediation"></a>

Untuk menambahkan tag ke kluster EKS, lihat [Menandai resource Amazon EKS Anda](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) di **Panduan Pengguna Amazon EKS**.

## [EKS.7] Konfigurasi penyedia identitas EKS harus ditandai
<a name="eks-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::EKS::IdentityProviderConfig`

**AWS Config aturan:** `tagged-eks-identityproviderconfig` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konfigurasi penyedia identitas Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eks-7-remediation"></a>

Untuk menambahkan tag ke konfigurasi penyedia identitas EKS, lihat [Menandai resource Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) Anda di **Panduan Pengguna Amazon EKS**.

## [EKS.8] Kluster EKS harus mengaktifkan pencatatan audit
<a name="eks-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EKS::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logTypes: audit`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah klaster Amazon EKS telah mengaktifkan pencatatan audit. Kontrol gagal jika pencatatan audit tidak diaktifkan untuk klaster.

**catatan**  
Kontrol ini tidak memeriksa apakah pencatatan audit Amazon EKS diaktifkan melalui Amazon Security Lake untuk Akun AWS.

Pencatatan pesawat kontrol EKS menyediakan log audit dan diagnostik langsung dari bidang kontrol EKS ke Amazon CloudWatch Logs di akun Anda. Anda dapat memilih jenis log yang Anda butuhkan, dan log dikirim sebagai aliran log ke grup untuk setiap kluster EKS. CloudWatch Logging memberikan visibilitas ke dalam akses dan kinerja kluster EKS. Dengan mengirimkan log pesawat kontrol EKS untuk kluster EKS Anda ke CloudWatch Log, Anda dapat merekam operasi untuk tujuan audit dan diagnostik di lokasi pusat.

### Remediasi
<a name="eks-8-remediation"></a>

Untuk mengaktifkan log audit untuk kluster EKS Anda, lihat [Mengaktifkan dan menonaktifkan log bidang kontrol di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) Pengguna **Amazon EKS**. 

# Kontrol CSPM Security Hub untuk ElastiCache
<a name="elasticache-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi ElastiCache layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis
<a name="elasticache-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  Periode retensi snapshot minimum dalam beberapa hari  |  Bilangan Bulat  |  `1` untuk `35`  |  `1`  | 

Kontrol ini mengevaluasi apakah klaster Amazon ElastiCache (Redis OSS) mengaktifkan pencadangan otomatis. Kontrol gagal jika `SnapshotRetentionLimit` untuk cluster Redis OSS kurang dari periode waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 1 hari.

ElastiCache (Redis OSS) cluster dapat mencadangkan data mereka. Anda dapat menggunakan backup untuk memulihkan klaster atau menyemai klaster baru. Cadangan terdiri dari metadata cluster, bersama dengan semua data di cluster. Semua cadangan ditulis ke Amazon S3, yang menyediakan penyimpanan tahan lama. Anda dapat memulihkan data Anda dengan membuat ElastiCache cluster baru dan mengisinya dengan data dari cadangan. Anda dapat mengelola backup menggunakan Konsol Manajemen AWS, the AWS CLI, dan API. ElastiCache 

**catatan**  
Kontrol ini juga mengevaluasi kelompok replikasi ElastiCache (Redis OSS dan Valkey).

### Remediasi
<a name="elasticache-1-remediation"></a>

*Untuk informasi tentang penjadwalan pencadangan otomatis untuk ElastiCache klaster, lihat [Menjadwalkan pencadangan otomatis](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) di Panduan Pengguna Amazon. ElastiCache *

## [ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
<a name="elasticache-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah Amazon ElastiCache secara otomatis menerapkan upgrade versi minor ke cluster cache. Kontrol gagal jika cluster cache tidak memiliki upgrade versi minor secara otomatis diterapkan.

**catatan**  
Kontrol ini tidak berlaku untuk cluster ElastiCache Memcached.

Upgrade versi minor otomatis adalah fitur yang dapat Anda aktifkan di Amazon ElastiCache untuk secara otomatis meningkatkan cluster cache Anda ketika versi mesin cache minor baru tersedia. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up-to-date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="elasticache-2-remediation"></a>

Untuk secara otomatis menerapkan upgrade versi minor ke cluster ElastiCache cache yang ada, lihat [Pengelolaan versi untuk ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) di *Panduan ElastiCache Pengguna Amazon*.

## [ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
<a name="elasticache-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi mengaktifkan failover otomatis. Kontrol gagal jika failover otomatis tidak diaktifkan untuk grup replikasi.

Ketika failover otomatis diaktifkan untuk grup replikasi, peran node utama akan secara otomatis gagal ke salah satu replika baca. Promosi failover dan replika ini memastikan bahwa Anda dapat melanjutkan penulisan ke primer baru setelah promosi selesai, yang mengurangi waktu henti secara keseluruhan jika terjadi kegagalan.

### Remediasi
<a name="elasticache-3-remediation"></a>

Untuk mengaktifkan failover otomatis untuk grup ElastiCache replikasi yang ada, lihat [Memodifikasi ElastiCache klaster di Panduan](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) Pengguna *Amazon ElastiCache *. Jika Anda menggunakan ElastiCache konsol, setel **Auto failover** ke diaktifkan.

## [ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
<a name="elasticache-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi saat istirahat. Kontrol gagal jika grup replikasi tidak dienkripsi saat istirahat.

Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. ElastiCache (Redis OSS) grup replikasi harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="elasticache-4-remediation"></a>

*Untuk mengonfigurasi enkripsi saat istirahat pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi saat istirahat di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) Amazon. ElastiCache *

## [ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
<a name="elasticache-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup ElastiCache replikasi dienkripsi dalam perjalanan. Kontrol gagal jika grup replikasi tidak dienkripsi saat transit.

Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan. Mengaktifkan enkripsi dalam transit pada grup ElastiCache replikasi mengenkripsi data Anda setiap kali data berpindah dari satu tempat ke tempat lain, seperti antar node di cluster Anda atau antara cluster Anda dan aplikasi Anda.

### Remediasi
<a name="elasticache-5-remediation"></a>

*Untuk mengonfigurasi enkripsi dalam transit pada grup ElastiCache replikasi, lihat [Mengaktifkan enkripsi dalam transit di Panduan Pengguna](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) Amazon. ElastiCache *

## [ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH
<a name="elasticache-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1),, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElastiCache::ReplicationGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup replikasi ElastiCache (Redis OSS) mengaktifkan Redis OSS AUTH. Kontrol gagal jika versi Redis OSS dari node grup replikasi di bawah 6.0 dan `AuthToken` tidak digunakan.

Saat Anda menggunakan token otentikasi Redis, atau kata sandi, Redis memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, yang meningkatkan keamanan data. Untuk Redis 6.0 dan versi yang lebih baru, sebaiknya gunakan Role-Based Access Control (RBAC). Karena RBAC tidak didukung untuk versi Redis lebih awal dari 6.0, kontrol ini hanya mengevaluasi versi yang tidak dapat menggunakan fitur RBAC.

### Remediasi
<a name="elasticache-6-remediation"></a>

*Untuk menggunakan Redis AUTH pada grup replikasi ElastiCache (Redis OSS), lihat [Memodifikasi token AUTH pada klaster ElastiCache (Redis OSS) yang ada](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) di Panduan Pengguna Amazon. ElastiCache *

## [ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
<a name="elasticache-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElastiCache::CacheCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ElastiCache cluster dikonfigurasi dengan grup subnet kustom. Kontrol gagal jika `CacheSubnetGroupName` untuk ElastiCache cluster memiliki nilai`default`.

Saat meluncurkan ElastiCache cluster, grup subnet default dibuat jika belum ada. Grup default menggunakan subnet dari Virtual Private Cloud (VPC) default. Sebaiknya gunakan grup subnet khusus yang lebih membatasi subnet tempat cluster berada, dan jaringan yang diwarisi cluster dari subnet.

### Remediasi
<a name="elasticache-7-remediation"></a>

Untuk membuat grup subnet baru untuk ElastiCache klaster, lihat [Membuat grup subnet](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) di * ElastiCache Panduan Pengguna Amazon*.

# Kontrol CSPM Security Hub untuk Elastic Beanstalk
<a name="elasticbeanstalk-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Elastic Beanstalk layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan
<a name="elasticbeanstalk-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pelaporan kesehatan yang ditingkatkan diaktifkan untuk AWS Elastic Beanstalk lingkungan Anda.

Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi.

Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. Agen kesehatan Elastic Beanstalk, termasuk dalam Amazon Machine AMIs Images () yang didukung, mengevaluasi log dan metrik contoh lingkungan. EC2

Untuk informasi tambahan, lihat [Pelaporan dan pemantauan kesehatan yang disempurnakan](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) di *Panduan AWS Elastic Beanstalk Pengembang*.

### Remediasi
<a name="elasticbeanstalk-1-remediation"></a>

*Untuk petunjuk tentang cara mengaktifkan pelaporan kesehatan yang disempurnakan, lihat [Mengaktifkan pelaporan kesehatan yang disempurnakan menggunakan konsol Elastic Beanstalk di](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) Panduan Pengembang.AWS Elastic Beanstalk *

## [ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
<a name="elasticbeanstalk-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  Tingkat pembaruan versi  |  Enum  |  `minor`, `patch`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pembaruan platform terkelola diaktifkan untuk lingkungan Elastic Beanstalk. Kontrol gagal jika tidak ada pembaruan platform terkelola yang diaktifkan. Secara default, kontrol lolos jika semua jenis pembaruan platform diaktifkan. Secara opsional, Anda dapat memberikan nilai parameter khusus untuk memerlukan tingkat pembaruan tertentu.

Mengaktifkan pembaruan platform terkelola memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="elasticbeanstalk-2-remediation"></a>

Untuk mengaktifkan pembaruan platform terkelola, lihat [Untuk mengonfigurasi pembaruan platform terkelola di bawah Pembaruan platform terkelola](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) di *Panduan AWS Elastic Beanstalk Pengembang*.

## [ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
<a name="elasticbeanstalk-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::ElasticBeanstalk::Environment`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  Jumlah hari untuk menyimpan peristiwa log sebelum kedaluwarsa  |  Enum  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah lingkungan Elastic Beanstalk dikonfigurasi untuk mengirim log ke Log. CloudWatch Kontrol gagal jika lingkungan Elastic Beanstalk tidak dikonfigurasi untuk mengirim log ke Log. CloudWatch Secara opsional, Anda dapat memberikan nilai kustom untuk `RetentionInDays` parameter jika Anda ingin kontrol lulus hanya jika log dipertahankan untuk jumlah hari yang ditentukan sebelum kedaluwarsa.

CloudWatch membantu Anda mengumpulkan dan memantau berbagai metrik untuk aplikasi dan sumber daya infrastruktur Anda. Anda juga dapat menggunakan CloudWatch untuk mengonfigurasi tindakan alarm berdasarkan metrik tertentu. Sebaiknya integrasikan Elastic Beanstalk dengan Elastic CloudWatch Beanstalk untuk meningkatkan visibilitas ke lingkungan Elastic Beanstalk Anda. Log Elastic Beanstalk mencakup eb-activity.log, log akses dari server proxy nginx atau Apache lingkungan, dan log yang khusus untuk lingkungan.

### Remediasi
<a name="elasticbeanstalk-3-remediation"></a>

*Untuk mengintegrasikan Elastic CloudWatch Beanstalk dengan Log[, lihat Streaming CloudWatch log instance ke Log di Panduan Pengembang](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *

# Kontrol CSPM Security Hub untuk Elastic Load Balancing
<a name="elb-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Elastic Load Balancing. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS
<a name="elb-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2),, (1), 2 (3), 3, 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), (4),, (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)** 

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengalihan HTTP ke HTTPS dikonfigurasi pada semua pendengar HTTP Application Load Balancers. Kontrol gagal jika salah satu pendengar HTTP dari Application Load Balancers tidak memiliki pengalihan HTTP ke HTTPS yang dikonfigurasi.

Sebelum Anda mulai menggunakan Application Load Balancer, Anda harus menambahkan satu atau lebih pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar mendukung protokol HTTP dan HTTPS. Anda dapat menggunakan pendengar HTTPS untuk menurunkan pekerjaan enkripsi dan dekripsi ke penyeimbang beban Anda. Untuk menerapkan enkripsi dalam perjalanan, Anda harus menggunakan tindakan pengalihan dengan Application Load Balancers untuk mengarahkan permintaan HTTP klien ke permintaan HTTPS pada port 443.

Untuk mempelajari lebih lanjut, lihat [Pendengar untuk Penyeimbang Beban Aplikasi Anda di *Panduan Pengguna untuk* Penyeimbang Beban Aplikasi](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html).

### Remediasi
<a name="elb-1-remediation"></a>

Untuk mengarahkan permintaan HTTP ke HTTPS, Anda harus menambahkan aturan pendengar Application Load Balancer atau mengedit aturan yang ada.

Untuk petunjuk tentang menambahkan aturan baru, lihat [Menambahkan aturan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*. Untuk **Protokol: Port**, pilih **HTTP**, dan kemudian masukkan**80**. Untuk **Add action, Redirect ke**, pilih **HTTPS**, lalu masukkan**443**.

Untuk petunjuk cara mengedit aturan yang ada, lihat [Mengedit aturan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*. Untuk **Protokol: Port**, pilih **HTTP**, dan kemudian masukkan**80**. Untuk **Add action, Redirect ke**, pilih **HTTPS**, lalu masukkan**443**.

## [ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager
<a name="elb-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.8 NIST.800-53.r5 SC-8

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Classic Load Balancer menggunakan HTTPS/SSL sertifikat yang disediakan oleh AWS Certificate Manager (ACM). Kontrol gagal jika Classic Load Balancer yang dikonfigurasi dengan HTTPS/SSL listener tidak menggunakan sertifikat yang disediakan oleh ACM.

Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Security Hub CSPM merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk penyeimbang beban Anda.

ACM terintegrasi dengan Classic Load Balancers sehingga Anda dapat menyebarkan sertifikat pada penyeimbang beban Anda. Anda juga harus memperbarui sertifikat ini secara otomatis.

### Remediasi
<a name="elb-2-remediation"></a>

Untuk informasi tentang cara mengaitkan SSL/TLS sertifikat ACM dengan Classic Load Balancer, lihat AWS [artikel Pusat Pengetahuan Bagaimana cara mengaitkan sertifikat SSL/TLS ACM dengan Classic, Application, atau Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?

## [ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS
<a name="elb-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-171.r2 3.13.8, Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pendengar Classic Load Balancer Anda dikonfigurasi dengan protokol HTTPS atau TLS untuk koneksi front-end (client to load balancer). Kontrol ini berlaku jika Classic Load Balancer memiliki pendengar. Jika Classic Load Balancer Anda tidak memiliki listener yang dikonfigurasi, kontrol tidak melaporkan temuan apa pun.

Kontrol akan diteruskan jika pendengar Classic Load Balancer dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end.

Kontrol gagal jika pendengar tidak dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end.

Sebelum Anda mulai menggunakan penyeimbang beban, Anda harus menambahkan satu atau lebih pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar dapat mendukung HTTP dan HTTPS/TLS protokol. Anda harus selalu menggunakan pendengar HTTPS atau TLS, sehingga penyeimbang beban melakukan pekerjaan enkripsi dan dekripsi dalam perjalanan.

### Remediasi
<a name="elb-3-remediation"></a>

Untuk mengatasi masalah ini, perbarui pendengar Anda untuk menggunakan protokol TLS atau HTTPS.

**Untuk mengubah semua pendengar yang tidak patuh menjadi pendengar TLS/HTTPS**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, di bawah **Penyeimbangan Beban**, pilih **Penyeimbang Beban**.

1. Pilih Classic Load Balancer Anda.

1. **Pada tab **Listeners**, pilih Edit.**

1. Untuk semua pendengar yang Protokol **Load Balancer** tidak disetel ke HTTPS atau SSL, ubah pengaturan ke HTTPS atau SSL.

1. Untuk semua pendengar yang dimodifikasi, pada tab **Sertifikat**, pilih **Ubah** default.

1. Untuk sertifikat **ACM dan IAM, pilih sertifikat**.

1. Pilih **Simpan sebagai default**.

1. **Setelah Anda memperbarui semua pendengar, pilih Simpan.**

## [ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid
<a name="elb-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah Application Load Balancer dikonfigurasi untuk menjatuhkan header HTTP yang tidak valid. Kontrol gagal jika nilai `routing.http.drop_invalid_header_fields.enabled` disetel ke`false`.

Secara default, Application Load Balancers tidak dikonfigurasi untuk menjatuhkan nilai header HTTP yang tidak valid. Menghapus nilai header ini mencegah serangan desync HTTP.

**catatan**  
Sebaiknya nonaktifkan kontrol ini jika ELB.12 diaktifkan di akun Anda. Untuk informasi selengkapnya, lihat [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](#elb-12).

### Remediasi
<a name="elb-4-remediation"></a>

Untuk mengatasi masalah ini, konfigurasikan penyeimbang beban Anda untuk menghapus bidang header yang tidak valid.

**Untuk mengonfigurasi penyeimbang beban untuk menjatuhkan bidang header yang tidak valid**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Load balancer**.

1. Pilih Application Load Balancer.

1. Dari **Tindakan**, pilih **Edit atribut**.

1. **Di bawah **Jatuhkan Bidang Header Tidak Valid**, pilih Aktifkan.**

1. Pilih **Simpan**.

## [ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan
<a name="elb-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application Load Balancer dan Classic Load Balancer telah mengaktifkan logging. Kontrol gagal jika `access_logs.s3.enabled` ada`false`.

Elastic Load Balancing memberikan log akses yang mengambil informasi mendetail tentang permintaan yang dikirim ke penyeimbang beban Anda. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan untuk memecahkan masalah. 

Untuk mempelajari selengkapnya, lihat [Akses log untuk Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) di *Panduan Pengguna untuk Penyeimbang Beban Klasik*.

### Remediasi
<a name="elb-5-remediation"></a>

Untuk mengaktifkan log akses, lihat [Langkah 3: Mengkonfigurasi log akses](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) di *Panduan Pengguna untuk Penyeimbang Beban Aplikasi*.

## [ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
<a name="elb-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application, Gateway, atau Network Load Balancer telah mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan dinonaktifkan.

Aktifkan perlindungan penghapusan untuk melindungi Aplikasi, Gateway, atau Network Load Balancer Anda dari penghapusan.

### Remediasi
<a name="elb-6-remediation"></a>

Untuk mencegah penyeimbang beban terhapus secara tidak sengaja, Anda dapat mengaktifkan perlindungan penghapusan. Secara default, perlindungan penghapusan dinonaktifkan untuk penyeimbang beban Anda.

Jika Anda mengaktifkan perlindungan penghapusan untuk penyeimbang beban, Anda harus menonaktifkan proteksi penghapusan sebelum dapat menghapus penyeimbang beban.

Untuk mengaktifkan perlindungan penghapusan untuk Application Load Balancer, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Penyeimbang Beban Aplikasi. Untuk mengaktifkan perlindungan penghapusan untuk Load Balancer Gateway, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Penyeimbang Beban Gateway. Untuk mengaktifkan perlindungan penghapusan Network Load Balancer, [lihat Perlindungan penghapusan](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) di *Panduan Pengguna* untuk Network Load Balancer.

## [ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi
<a name="elb-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Memulihkan > Ketahanan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan:** `elb-connection-draining-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Classic Load Balancers mengaktifkan pengurasan koneksi.

Mengaktifkan pengurasan koneksi pada Classic Load Balancer memastikan bahwa penyeimbang beban berhenti mengirim permintaan ke instans yang tidak terdaftar atau tidak sehat. Itu membuat koneksi yang ada tetap terbuka. Ini sangat berguna untuk instance di grup Auto Scaling, untuk memastikan bahwa koneksi tidak terputus secara tiba-tiba.

### Remediasi
<a name="elb-7-remediation"></a>

Untuk mengaktifkan pengurasan koneksi pada Classic Load Balancer, lihat [Mengonfigurasi pengurasan koneksi untuk Classic Load Balancer Anda di *Panduan Pengguna* untuk Penyeimbang Beban Klasik](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).

## [ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config
<a name="elb-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (3), (4), NIST.800-53.r5 SC-1, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-171.r2 3.13.8, Nist.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah HTTPS/SSL pendengar Classic Load Balancer Anda menggunakan kebijakan yang telah ditentukan sebelumnya. `ELBSecurityPolicy-TLS-1-2-2017-01` Kontrol gagal jika HTTPS/SSL pendengar Classic Load Balancer tidak menggunakan. `ELBSecurityPolicy-TLS-1-2-2017-01`

Kebijakan keamanan adalah kombinasi dari protokol SSL, cipher, dan opsi Preferensi Pesanan Server. Kebijakan yang telah ditetapkan mengontrol cipher, protokol, dan perintah preferensi untuk mendukung selama negosiasi SSL antara klien dan penyeimbang beban.

Menggunakan `ELBSecurityPolicy-TLS-1-2-2017-01` dapat membantu Anda memenuhi standar kepatuhan dan keamanan yang mengharuskan Anda menonaktifkan versi SSL dan TLS tertentu. Untuk informasi selengkapnya, lihat [Kebijakan keamanan SSL yang telah ditentukan sebelumnya untuk Penyeimbang Beban Klasik di *Panduan Pengguna untuk* Penyeimbang Beban Klasik](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html).

### Remediasi
<a name="elb-8-remediation"></a>

Untuk informasi tentang cara menggunakan kebijakan keamanan yang telah ditentukan sebelumnya `ELBSecurityPolicy-TLS-1-2-2017-01` dengan Classic Load Balancer, [lihat Mengonfigurasi setelan keamanan](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) *di Panduan Pengguna untuk Penyeimbang Beban Klasik*.

## [ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona
<a name="elb-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penyeimbangan beban lintas zona diaktifkan untuk Classic Load Balancers (). CLBs Kontrol gagal jika penyeimbangan beban lintas zona tidak diaktifkan untuk CLB.

Node penyeimbang beban mendistribusikan lalu lintas hanya di seluruh target yang terdaftar di Availability Zone. Ketika load balancing lintas zona dinonaktifkan, setiap node Load Balancer mendistribusikan lalu lintas hanya di target yang telah terdaftar di Availability Zonenya. Jika jumlah target yang terdaftar tidak sama di seluruh Availability Zone, lalu lintas tidak akan didistribusikan secara merata dan contoh di satu zona mungkin berakhir lebih digunakan dibandingkan dengan contoh di zona lain. Dengan penyeimbangan beban lintas zona diaktifkan, setiap node penyeimbang beban untuk Classic Load Balancer Anda mendistribusikan permintaan secara merata di seluruh instance terdaftar di semua Availability Zone yang diaktifkan. Untuk detailnya lihat [Penyeimbangan beban lintas zona di Panduan](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) Pengguna Elastic Load Balancing.

### Remediasi
<a name="elb-9-remediation"></a>

Untuk mengaktifkan penyeimbangan beban lintas zona di Classic Load Balancer, [lihat Mengaktifkan penyeimbangan beban lintas zona dalam *Panduan Pengguna* untuk Penyeimbang Beban](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Klasik.

## [ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
<a name="elb-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah Classic Load Balancer telah dikonfigurasi untuk menjangkau setidaknya jumlah Availability Zones () AZs yang ditentukan. Kontrol gagal jika Classic Load Balancer tidak mencakup setidaknya jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

 Classic Load Balancer dapat disiapkan untuk mendistribusikan permintaan masuk di seluruh instans Amazon EC2 dalam satu Availability Zone atau beberapa Availability Zone. Classic Load Balancer yang tidak menjangkau beberapa Availability Zone tidak dapat mengarahkan lalu lintas ke target di Availability Zone lain jika Availability Zone yang dikonfigurasi menjadi tidak tersedia. 

### Remediasi
<a name="elb-10-remediation"></a>

 Untuk menambahkan Availability Zone ke Classic Load Balancer, lihat [Menambahkan atau menghapus subnet untuk Classic Load Balancer Anda di *Panduan Pengguna* untuk Penyeimbang Beban Klasik](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html). 

## [ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat
<a name="elb-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Perlindungan data > Integritas data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `desyncMode`: `defensive, strictest` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Application Load Balancer dikonfigurasi dengan modus mitigasi desync defensif atau paling ketat. Kontrol gagal jika Application Load Balancer tidak dikonfigurasi dengan modus mitigasi desync defensif atau paling ketat.

Masalah HTTP Desync dapat menyebabkan penyelundupan permintaan dan membuat aplikasi rentan terhadap antrian permintaan atau keracunan cache. Pada gilirannya, kerentanan ini dapat menyebabkan isian kredensyal atau eksekusi perintah yang tidak sah. Application Load Balancer yang dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat melindungi aplikasi Anda dari masalah keamanan yang mungkin disebabkan oleh HTTP Desync. 

### Remediasi
<a name="elb-12-remediation"></a>

*Untuk memperbarui mode mitigasi desync dari Application Load Balancer, lihat Mode [mitigasi desync di Panduan Pengguna untuk Application Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode).* 

## [ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
<a name="elb-13"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah Elastic Load Balancer V2 (Application, Network, atau Gateway Load Balancer) telah mendaftarkan instans dari setidaknya jumlah Availability Zones () yang ditentukan. AZs Kontrol gagal jika Elastic Load Balancer V2 tidak memiliki instance yang terdaftar setidaknya dalam jumlah yang ditentukan. AZs Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Elastic Load Balancing secara otomatis mendistribusikan lalu lintas aplikasi masuk di beberapa target, seperti instans EC2, wadah, dan IP addresses, dalam satu atau lebih Zona Ketersediaan. Elastic Load Balancing menskalakan load balancer Anda saat lalu lintas masuk Anda berubah seiring waktu. Disarankan untuk mengonfigurasi setidaknya dua zona ketersediaan untuk memastikan ketersediaan layanan, karena Elastic Load Balancer akan dapat mengarahkan lalu lintas ke zona ketersediaan lain jika salah satu tidak tersedia. Memiliki beberapa zona ketersediaan yang dikonfigurasi akan membantu menghilangkan satu titik kegagalan untuk aplikasi. 

### Remediasi
<a name="elb-13-remediation"></a>

Untuk menambahkan Availability Zone ke Application Load Balancer, lihat [Availability Zone untuk Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer di *Panduan Pengguna untuk* Application Load Balancer. Untuk menambahkan Availability Zone ke Network Load Balancer, lihat [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) di *Panduan Pengguna untuk* Network Load Balancer. Untuk menambahkan Availability Zone ke Load Balancer Gateway, lihat [Membuat Load Balancer Gateway di *Panduan Pengguna untuk* Penyeimbang Beban](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) Gateway. 

## [ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat
<a name="elb-14"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4

**Kategori:** Lindungi > Perlindungan data > Integritas data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `desyncMode`: `defensive, strictest` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Classic Load Balancer dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat. Kontrol gagal jika Classic Load Balancer tidak dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat.

Masalah HTTP Desync dapat menyebabkan penyelundupan permintaan dan membuat aplikasi rentan terhadap antrian permintaan atau keracunan cache. Pada gilirannya, kerentanan ini dapat menyebabkan pembajakan kredensyal atau eksekusi perintah yang tidak sah. Classic Load Balancer yang dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat melindungi aplikasi Anda dari masalah keamanan yang mungkin disebabkan oleh HTTP Desync. 

### Remediasi
<a name="elb-14-remediation"></a>

*Untuk memperbarui mode mitigasi desync pada Classic Load Balancer, lihat [Memodifikasi mode mitigasi desync](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) di Panduan Pengguna untuk Penyeimbang Beban Klasik.* 

## [ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF
<a name="elb-16"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)

**Kategori:** Lindungi > Layanan pelindung

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Application Load Balancer dikaitkan dengan daftar kontrol akses AWS WAF Classic atau AWS WAF web (web ACL). Kontrol gagal jika `Enabled` bidang untuk AWS WAF konfigurasi diatur ke`false`.

AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Dengan AWS WAF, Anda dapat mengonfigurasi ACL web, yang merupakan seperangkat aturan yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tentukan. Sebaiknya kaitkan Application Load Balancer Anda dengan AWS WAF ACL web untuk membantu melindunginya dari serangan berbahaya.

### Remediasi
<a name="elb-16-remediation"></a>

*Untuk mengaitkan Application Load Balancer dengan ACL web, lihat [Mengaitkan atau memisahkan ACL web dengan sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html). AWS AWS WAF * 

## [ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan
<a name="elb-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pendengar HTTPS untuk Application Load Balancer atau pendengar TLS untuk Network Load Balancer dikonfigurasi untuk mengenkripsi data dalam perjalanan menggunakan kebijakan keamanan yang disarankan. Kontrol gagal jika pendengar HTTPS atau TLS untuk penyeimbang beban tidak dikonfigurasi untuk menggunakan kebijakan keamanan yang disarankan.

Elastic Load Balancing menggunakan konfigurasi negosiasi SSL, yang dikenal sebagai *kebijakan keamanan*, untuk menegosiasikan koneksi antara klien dan penyeimbang beban. Kebijakan keamanan menentukan kombinasi protokol dan cipher. Protokol menetapkan koneksi yang aman antara klien dan server. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Selama proses negosiasi koneksi, klien dan penyeimbang beban menyajikan daftar sandi dan protokol yang masing-masing mendukung, dalam urutan preferensi. Menggunakan kebijakan keamanan yang direkomendasikan untuk penyeimbang beban dapat membantu Anda memenuhi standar kepatuhan dan keamanan.

### Remediasi
<a name="elb-17-remediation"></a>

[Untuk informasi tentang kebijakan keamanan yang direkomendasikan dan cara memperbarui pendengar, lihat bagian berikut dari Panduan *Pengguna Elastic Load Balancing: Kebijakan keamanan untuk Application Load Balancer*[, Kebijakan keamanan untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html)[Balancer, Memperbarui listener HTTPS untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html)[Balancer, dan Memperbarui pendengar untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html).](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)

## [ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan
<a name="elb-18"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pendengar untuk Application Load Balancer atau Network Load Balancer dikonfigurasi untuk menggunakan protokol aman untuk enkripsi data dalam perjalanan. Kontrol gagal jika pendengar Application Load Balancer tidak dikonfigurasi untuk menggunakan protokol HTTPS, atau pendengar Network Load Balancer tidak dikonfigurasi untuk menggunakan protokol TLS.

Untuk mengenkripsi data yang ditransmisikan antara klien dan penyeimbang beban, pendengar Elastic Load Balancer harus dikonfigurasi untuk menggunakan protokol keamanan standar industri: HTTPS untuk Application Load Balancers, atau TLS untuk Network Load Balancers. Jika tidak, data yang ditransmisikan antara klien dan penyeimbang beban rentan terhadap intersepsi, gangguan, dan akses tidak sah. Penggunaan HTTPS atau TLS oleh pendengar sejalan dengan praktik terbaik keamanan dan membantu memastikan kerahasiaan dan integritas data selama transmisi. Ini sangat penting untuk aplikasi yang menangani informasi sensitif, atau harus mematuhi standar keamanan yang memerlukan enkripsi data dalam perjalanan.

### Remediasi
<a name="elb-18-remediation"></a>

[Untuk informasi tentang mengonfigurasi protokol keamanan untuk pendengar, lihat bagian berikut dari *Panduan Pengguna Elastic Load Balancing: Membuat pendengar HTTPS untuk Application Load*[Balancer dan Membuat pendengar untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html)

## [ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi
<a name="elb-21"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kelompok sasaran untuk pemeriksaan kesehatan penyeimbang beban aplikasi dan jaringan menggunakan protokol transportasi terenkripsi. Kontrol gagal jika protokol pemeriksaan kesehatan tidak menggunakan HTTPS. Kontrol ini tidak berlaku untuk jenis target Lambda.

 Load Balancer mengirimkan permintaan pemeriksaan kesehatan ke target yang terdaftar untuk menentukan status dan rute lalu lintas yang sesuai. Protokol pemeriksaan kesehatan yang ditentukan dalam konfigurasi kelompok sasaran menentukan bagaimana pemeriksaan ini dilakukan. Ketika protokol pemeriksaan kesehatan menggunakan komunikasi yang tidak terenkripsi seperti HTTP, permintaan dan tanggapan dapat dicegat atau dimanipulasi selama transmisi. Hal ini memungkinkan penyerang untuk mendapatkan wawasan tentang konfigurasi infrastruktur, merusak hasil pemeriksaan kesehatan, atau melakukan man-in-the-middle serangan yang memengaruhi keputusan perutean. Menggunakan HTTPS untuk pemeriksaan kesehatan menyediakan komunikasi terenkripsi antara penyeimbang beban dan targetnya, melindungi integritas dan kerahasiaan informasi status kesehatan.

### Remediasi
<a name="elb-21-remediation"></a>

Untuk mengonfigurasi pemeriksaan kesehatan terenkripsi untuk grup target Application Load Balancer Anda, [lihat Memperbarui pengaturan pemeriksaan kesehatan grup target Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) di Panduan Pengguna Elastic Load *Balancing*. Untuk mengonfigurasi pemeriksaan kesehatan terenkripsi untuk grup target Network Load Balancer Anda, [lihat Memperbarui pengaturan pemeriksaan kesehatan grup target Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) di Panduan Pengguna Elastic Load *Balancing*.

## [ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
<a name="elb-22"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup target Elastic Load Balancing menggunakan protokol transport terenkripsi. Kontrol ini tidak berlaku untuk grup target dengan tipe target Lambda atau ALB, atau kelompok target yang menggunakan protokol GENEVE. Kontrol gagal jika grup target tidak menggunakan protokol HTTPS, TLS, atau QUIC.

 Mengenkripsi data dalam perjalanan melindunginya dari intersepsi oleh pengguna yang tidak sah. Kelompok sasaran yang menggunakan protokol tidak terenkripsi (HTTP, TCP, UDP) mengirimkan data tanpa enkripsi, membuatnya rentan terhadap penyadapan. Menggunakan protokol terenkripsi (HTTPS, TLS, QUIC) memastikan bahwa data yang ditransmisikan antara penyeimbang beban dan target dilindungi.

### Remediasi
<a name="elb-22-remediation"></a>

Untuk menggunakan protokol terenkripsi, Anda harus membuat grup target baru dengan protokol HTTPS, TLS, atau QUIC. Protokol grup target tidak dapat dimodifikasi setelah pembuatan. Untuk membuat grup target Application Load Balancer, lihat [Membuat grup target untuk Application Load Balancer Anda di Panduan Pengguna Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) *Balancing*. Untuk membuat grup target Network Load Balancer, lihat [Membuat grup target untuk Network Load Balancer di Panduan Pengguna Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) *Balancing*. 

# Security Hub CSPM untuk Elasticsearch
<a name="es-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Elasticsearch.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
<a name="es-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch memiliki enkripsi saat konfigurasi istirahat diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif Anda OpenSearch, Anda harus mengonfigurasi Anda OpenSearch untuk dienkripsi saat istirahat. Domain Elasticsearch menawarkan enkripsi data saat istirahat. Fitur ini digunakan AWS KMS untuk menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, ia menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang OpenSearch enkripsi saat istirahat, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

Jenis instance tertentu, seperti `t.small` dan`t.medium`, tidak mendukung enkripsi data saat istirahat. Untuk detailnya, lihat [Jenis instans yang didukung](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

### Remediasi
<a name="es-1-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk domain Elasticsearch baru dan yang sudah ada, lihat [Mengaktifkan enkripsi data saat istirahat di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) Layanan *Amazon OpenSearch *.

## [ES.2] Domain Elasticsearch tidak boleh diakses publik
<a name="es-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC 

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch ada di VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Lihat [Kebijakan berbasis sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) Layanan *Amazon OpenSearch *. Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) di Panduan Pengguna Amazon *VPC*.

Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan. Security Hub CSPM merekomendasikan agar Anda memigrasikan domain Elasticsearch publik VPCs untuk memanfaatkan kontrol ini.

### Remediasi
<a name="es-2-remediation"></a>

Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus [membuat domain lain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) atau menonaktifkan kontrol ini.

Lihat [Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) di Panduan Pengembang *Layanan OpenSearch Amazon*.

## [ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
<a name="es-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch telah mengaktifkan node-to-node enkripsi. Kontrol gagal jika domain Elasticsearch tidak mengaktifkan node-to-node enkripsi. Kontrol juga menghasilkan temuan yang gagal jika versi Elasticsearch tidak mendukung pemeriksaan node-to-node enkripsi. 

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini. 

### Remediasi
<a name="es-3-remediation"></a>

Untuk informasi tentang mengaktifkan node-to-node enkripsi pada domain baru dan yang sudah ada, lihat [Mengaktifkan node-to-node enkripsi di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) Pengembang * OpenSearch Layanan Amazon*.

## [ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
<a name="es-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi - Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logtype = 'error'`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch 

Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="es-4-remediation"></a>

Untuk informasi tentang cara mengaktifkan penerbitan log, lihat [Mengaktifkan penerbitan log (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
<a name="es-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-audit-logging-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(tidak dapat disesuaikan). Security Hub CSPM tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

  Aturan ini adalah `NON_COMPLIANT` jika grup CloudWatch log Log dari domain Elasticsearch tidak ditentukan dalam daftar parameter ini.

Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pencatatan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pencatatan audit. 

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di cluster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk.

### Remediasi
<a name="es-5-remediation"></a>

Untuk petunjuk mendetail tentang mengaktifkan log audit, lihat [Mengaktifkan log audit di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) *Pengembang OpenSearch Layanan Amazon*.

## [ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
<a name="es-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-data-node-fault-tolerance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node data dan is. `zoneAwarenessEnabled` `true`

Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menerapkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

### Remediasi
<a name="es-6-remediation"></a>

**Untuk mengubah jumlah node data dalam domain Elasticsearch**

1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.

1. Pilih **Edit domain**.

1. Di bawah **Node data**, atur **Jumlah node** ke angka yang lebih besar dari atau sama dengan`3`.

   Untuk tiga penerapan Availability Zone, atur ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone.

1. Pilih **Kirim**.

## [ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
<a name="es-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-primary-node-fault-tolerance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga node primer khusus. Kontrol ini gagal jika domain tidak menggunakan node primer khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node primer khusus. Namun, menggunakan lebih dari tiga node primer mungkin tidak diperlukan untuk mengurangi risiko ketersediaan, dan akan menghasilkan biaya tambahan.

Domain Elasticsearch membutuhkan setidaknya tiga node primer khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya node primer khusus dapat tegang selama blue/green penyebaran node data karena ada node tambahan untuk dikelola. Menerapkan domain Elasticsearch dengan setidaknya tiga node primer khusus memastikan kapasitas sumber daya node primer dan operasi cluster yang memadai jika sebuah node gagal.

### Remediasi
<a name="es-7-remediation"></a>

**Untuk memodifikasi jumlah node utama khusus dalam OpenSearch domain**

1. Buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain**, pilih nama domain yang ingin Anda edit.

1. Pilih **Edit domain**.

1. Di bawah **Node master khusus**, setel **tipe Instance ke tipe** instans yang diinginkan.

1. Mengatur **Jumlah node master** sama dengan tiga atau lebih besar.

1. Pilih **Kirim**.

## [ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
<a name="es-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `elasticsearch-https-required` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akhir domain Elasticsearch dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir domain Elasticsearch tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan. Kebijakan keamanan TLS terbaru yang didukung saat ini adalah`Policy-Min-TLS-1-2-PFS-2023-10`.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.

### Remediasi
<a name="es-8-remediation"></a>

Untuk mengaktifkan enkripsi TLS, gunakan operasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API untuk mengkonfigurasi [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)objek. Ini menetapkan`TLSSecurityPolicy`.

## [ES.9] Domain Elasticsearch harus diberi tag
<a name="es-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Elasticsearch::Domain`

**AWS Config aturan:** `tagged-elasticsearch-domain` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah domain Elasticsearch memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="es-9-remediation"></a>

Untuk menambahkan tag ke domain Elasticsearch, lihat [Bekerja dengan tag di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) *Pengembang OpenSearch Layanan Amazon*.

# Kontrol CSPM Security Hub untuk Amazon EMR
<a name="emr-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon EMR (sebelumnya disebut Amazon Elastic MapReduce). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik
<a name="emr-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::EMR::Cluster`

**AWS Config aturan: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah node master di klaster EMR Amazon memiliki alamat IP publik. Kontrol gagal jika alamat IP publik dikaitkan dengan salah satu instance node master.

Alamat IP publik ditunjuk di `PublicIp` bidang `NetworkInterfaces` konfigurasi untuk instance. Kontrol ini hanya memeriksa kluster EMR Amazon yang berada dalam status atau`RUNNING`. `WAITING`

### Remediasi
<a name="emr-1-remediation"></a>

Selama peluncuran, Anda dapat mengontrol apakah instance Anda di subnet default atau nondefault diberi alamat publik IPv4 . Secara default, subnet default memiliki atribut ini disetel ke`true`. Subnet nondefault memiliki atribut pengalamatan IPv4 publik yang disetel ke`false`, kecuali jika dibuat oleh wizard instance EC2 peluncuran Amazon. Dalam hal ini, atribut diatur ke`true`.

Setelah diluncurkan, Anda tidak dapat secara manual memisahkan IPv4 alamat publik dari instans Anda.

Untuk memulihkan temuan yang gagal, Anda harus meluncurkan cluster baru di VPC dengan subnet pribadi yang memiliki atribut pengalamatan publik yang IPv4 disetel ke. `false` Untuk petunjuknya, lihat [Meluncurkan cluster ke dalam VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) di Panduan Manajemen *EMR Amazon*.

## [EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
<a name="emr-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akun Anda dikonfigurasi dengan Amazon EMR memblokir akses publik. Kontrol gagal jika pengaturan blokir akses publik tidak diaktifkan atau jika port apa pun selain port 22 diizinkan.

Amazon EMR memblokir akses publik mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Saat pengguna dari Anda Akun AWS meluncurkan kluster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atau IPv6 : :/0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, Amazon EMR tidak mengizinkan pengguna membuat cluster.

**catatan**  
Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.

### Remediasi
<a name="emr-2-remediation"></a>

Untuk mengonfigurasi blokir akses publik untuk Amazon EMR, lihat Menggunakan [Amazon EMR memblokir akses publik di Panduan Manajemen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) *EMR* Amazon.

## [EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
<a name="emr-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat istirahat. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="emr-3-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.

## [EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
<a name="emr-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8,, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::EMR::SecurityConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konfigurasi keamanan EMR Amazon mengaktifkan enkripsi saat transit. Kontrol gagal jika konfigurasi keamanan tidak mengaktifkan enkripsi dalam perjalanan.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="emr-4-remediation"></a>

Untuk mengaktifkan enkripsi saat transit dalam konfigurasi keamanan Amazon EMR, lihat [Mengonfigurasi enkripsi data](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) di Panduan Manajemen *EMR* Amazon.

# Kontrol CSPM Security Hub untuk EventBridge
<a name="eventbridge-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi EventBridge layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [EventBridge.2] bus EventBridge acara harus diberi tag
<a name="eventbridge-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Events::EventBus`

**AWS Config aturan:** `tagged-events-eventbus` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bus EventBridge acara Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika bus acara tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika bus acara tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="eventbridge-2-remediation"></a>

Untuk menambahkan tag ke bus EventBridge acara, lihat [ EventBridge Tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) di *Panduan EventBridge Pengguna Amazon*.

## [EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
<a name="eventbridge-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Events::EventBus`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bus acara EventBridge khusus Amazon memiliki kebijakan berbasis sumber daya yang dilampirkan. Kontrol ini gagal jika bus acara khusus tidak memiliki kebijakan berbasis sumber daya.

Secara default, bus acara EventBridge khusus tidak memiliki kebijakan berbasis sumber daya yang dilampirkan. Hal ini memungkinkan kepala sekolah di akun untuk mengakses bus acara. Dengan melampirkan kebijakan berbasis sumber daya ke bus acara, Anda dapat membatasi akses ke bus acara ke akun tertentu, serta dengan sengaja memberikan akses ke entitas di akun lain.

### Remediasi
<a name="eventbridge-3-remediation"></a>

*Untuk melampirkan kebijakan berbasis sumber daya ke bus peristiwa EventBridge khusus, lihat [Menggunakan kebijakan berbasis sumber daya untuk Amazon di Panduan Pengguna Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html). EventBridge EventBridge *

## [EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
<a name="eventbridge-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Events::Endpoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah replikasi peristiwa diaktifkan untuk titik akhir EventBridge global Amazon. Kontrol gagal jika replikasi peristiwa tidak diaktifkan untuk titik akhir global.

Titik akhir global membantu membuat aplikasi Anda toleran terhadap kesalahan regional. Untuk memulai, Anda menetapkan pemeriksaan kesehatan Amazon Route 53 ke titik akhir. Ketika failover dimulai, pemeriksaan kesehatan melaporkan keadaan “tidak sehat”. Dalam beberapa menit setelah inisiasi failover, semua acara khusus diarahkan ke bus acara di Wilayah sekunder dan diproses oleh bus acara tersebut. Saat Anda menggunakan titik akhir global, Anda dapat mengaktifkan replikasi peristiwa. Replikasi acara mengirimkan semua peristiwa khusus ke bus acara di Wilayah primer dan sekunder menggunakan aturan terkelola. Sebaiknya aktifkan replikasi peristiwa saat menyiapkan titik akhir global. Replikasi acara membantu Anda memverifikasi bahwa titik akhir global Anda dikonfigurasi dengan benar. Replikasi peristiwa diperlukan untuk memulihkan secara otomatis dari peristiwa failover. Jika replikasi acara tidak diaktifkan, Anda harus mengatur ulang pemeriksaan kesehatan Route 53 secara manual ke “sehat” sebelum acara dialihkan kembali ke Wilayah utama.

**catatan**  
Jika Anda menggunakan bus acara khusus, Anda memerlukan bus genap khusus di setiap Wilayah dengan nama yang sama dan di akun yang sama agar failover berfungsi dengan baik. Mengaktifkan replikasi acara dapat meningkatkan biaya bulanan Anda. Untuk informasi tentang harga, lihat [ EventBridge harga Amazon](https://aws.amazon.com/eventbridge/pricing/).

### Remediasi
<a name="eventbridge-4-remediation"></a>

Untuk mengaktifkan replikasi peristiwa untuk titik akhir EventBridge global, lihat [Membuat titik akhir global di Panduan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) Pengguna *Amazon EventBridge *. Untuk **replikasi Acara**, pilih **Replikasi acara diaktifkan.**

# Kontrol CSPM Security Hub untuk Amazon Fraud Detector
<a name="frauddetector-controls"></a>

Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Fraud Detector.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag
<a name="frauddetector-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::EntityType`

**AWS Config aturan:** `frauddetector-entity-type-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah jenis entitas Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika tipe entitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tipe entitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-1-remediation"></a>

**Untuk menambahkan tag ke jenis entitas Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Entitas**.

1. Pilih jenis entitas dari daftar.

1. Di bagian **tag tipe entitas**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.2] Label Amazon Fraud Detector harus diberi tag
<a name="frauddetector-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Label`

**AWS Config aturan:** `frauddetector-label-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah label Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika label tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika label tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-2-remediation"></a>

**Untuk menambahkan tag ke label Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Label**.

1. Pilih label dari daftar.

1. Di bagian **tag label**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
<a name="frauddetector-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Outcome`

**AWS Config aturan:** `frauddetector-outcome-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah hasil Amazon Fraud Detector memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika hasilnya tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika hasilnya tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-3-remediation"></a>

**Untuk menambahkan tag ke hasil Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Hasil**.

1. Pilih hasil dari daftar.

1. Di bagian **tag hasil**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

## [FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag
<a name="frauddetector-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FraudDetector::Variable`

**AWS Config aturan:** `frauddetector-variable-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah variabel Amazon Fraud Detector memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika variabel tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika variabel tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="frauddetector-4-remediation"></a>

**Untuk menambahkan tag ke variabel Amazon Fraud Detector (konsol)**

1. Buka konsol Amazon Fraud Detector di [https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/).

1. Di panel navigasi, pilih **Variabel**.

1. Pilih variabel dari daftar.

1. Di bagian **tag variabel**, pilih **Kelola tag**.

1. Pilih **Tambahkan tag baru**. Masukkan kunci dan nilai untuk tanda tersebut. Ulangi untuk pasangan nilai kunci tambahan.

1. Setelah Anda selesai menambahkan tanda, pilih **Simpan**.

# Kontrol CSPM Security Hub untuk Amazon FSx
<a name="fsx-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi FSx layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
<a name="fsx-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk OpenZFS dikonfigurasi untuk menyalin tag ke cadangan dan volume. Kontrol gagal jika sistem file OpenZFS tidak dikonfigurasi untuk menyalin tag ke backup dan volume.

Identifikasi dan inventaris aset TI Anda merupakan aspek penting dari tata kelola dan keamanan. Tag membantu Anda mengkategorikan AWS sumber daya Anda dengan cara yang berbeda, misalnya, berdasarkan tujuan, pemilik, atau lingkungan. Ini berguna ketika Anda memiliki banyak sumber daya dari jenis yang sama karena Anda dapat dengan cepat mengidentifikasi sumber daya tertentu berdasarkan tag yang Anda tetapkan padanya.

### Remediasi
<a name="fsx-1-remediation"></a>

Untuk informasi tentang mengonfigurasi sistem file OpenZFS untuk menyalin tag ke cadangan dan volume, lihat [Memperbarui sistem file di *Amazon FSx * untuk Panduan](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) Pengguna OpenZFS. FSx 

## [FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
<a name="fsx-2"></a>

**Persyaratan terkait:** Nist.800-53.r5 CP-9, Nist.800-53.r5 CM-8

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk Lustre dikonfigurasi untuk menyalin tag ke cadangan dan volume. Kontrol gagal jika sistem file Lustre tidak dikonfigurasi untuk menyalin tag ke backup dan volume.

Identifikasi dan inventaris aset TI Anda merupakan aspek penting dari tata kelola dan keamanan. Tag membantu Anda mengkategorikan AWS sumber daya Anda dengan cara yang berbeda, misalnya, berdasarkan tujuan, pemilik, atau lingkungan. Ini berguna ketika Anda memiliki banyak sumber daya dari jenis yang sama karena Anda dapat dengan cepat mengidentifikasi sumber daya tertentu berdasarkan tag yang Anda tetapkan padanya.

### Remediasi
<a name="fsx-2-remediation"></a>

*Untuk informasi tentang mengonfigurasi sistem file Lustre FSx untuk menyalin tag ke cadangan, lihat Menyalin [cadangan dalam hal yang sama Akun AWS di Amazon for Lustre User Guide](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html). FSx *

## [FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-3"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** `deploymentTypes: MULTI_AZ_1` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk OpenZFS dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran Multi-AZ.

*Amazon FSx untuk OpenZFS mendukung beberapa jenis penyebaran untuk sistem file: *Multi-AZ (HA), Single-AZ (HA)**, dan Single-AZ (non-HA)*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sistem file multi-AZ (HA) terdiri dari sepasang server file ketersediaan tinggi (HA) yang tersebar di dua Availability Zones ()AZs. Kami merekomendasikan penggunaan tipe penyebaran Multi-AZ (HA) untuk sebagian besar beban kerja produksi karena ketersediaan tinggi dan model daya tahan yang disediakannya.

### Remediasi
<a name="fsx-3-remediation"></a>

Anda dapat mengonfigurasi sistem file Amazon FSx untuk OpenZFS untuk menggunakan jenis penyebaran Multi-AZ saat Anda membuat sistem file. Anda tidak dapat mengubah jenis penerapan untuk sistem file OpenZFS yang sudah ada FSx .

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file OpenZFS, lihat [Ketersediaan dan daya tahan Amazon FSx untuk OpenZFS dan](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) [Mengelola sumber daya sistem file di](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) *Amazon FSx * untuk Panduan Pengguna OpenZFS.

## [FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-4"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  Daftar jenis penyebaran untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika sistem file tidak dikonfigurasi untuk menggunakan jenis penerapan yang ditentukan dalam daftar.  |  Enum  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk NetApp ONTAP dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran multi-AZ. Anda dapat secara opsional menentukan daftar jenis penerapan yang akan disertakan dalam evaluasi.

*Amazon FSx untuk NetApp ONTAP mendukung beberapa jenis penyebaran untuk sistem file: *Single-AZ 1, Single-AZ 2, Multi-AZ 1**, dan *Multi-AZ* 2*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sebaiknya gunakan tipe penyebaran Multi-AZ untuk sebagian besar beban kerja produksi karena model ketersediaan dan daya tahan tinggi yang disediakan oleh tipe penerapan Multi-AZ. Sistem file Multi-AZ mendukung semua fitur ketersediaan dan daya tahan sistem file Single-AZ. Selain itu, mereka dirancang untuk menyediakan ketersediaan berkelanjutan ke data bahkan ketika Availability Zone (AZ) tidak tersedia.

### Remediasi
<a name="fsx-4-remediation"></a>

Anda tidak dapat mengubah jenis penerapan untuk sistem file Amazon FSx untuk NetApp ONTAP yang ada. Namun, Anda dapat mencadangkan data, dan kemudian mengembalikannya pada sistem file baru yang menggunakan tipe penyebaran multi-AZ.

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file ONTAP, lihat [Opsi ketersediaan, daya tahan, dan penerapan serta](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Mengelola sistem file](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) di Panduan Pengguna *FSx untuk ONTAP*. 

## [FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
<a name="fsx-5"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::FSx::FileSystem`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** `deploymentTypes: MULTI_AZ_1` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah sistem file Amazon FSx untuk Windows File Server dikonfigurasi untuk menggunakan beberapa jenis penyebaran Availability Zones (Multi-AZ). Kontrol gagal jika sistem file tidak dikonfigurasi untuk menggunakan jenis penyebaran Multi-AZ.

*Amazon FSx untuk Windows File Server mendukung dua jenis penyebaran untuk sistem file: *Single-AZ dan Multi-AZ*.* Jenis penyebaran menawarkan berbagai tingkat ketersediaan dan daya tahan. Sistem file Single-AZ terdiri dari satu instance server file Windows dan satu set volume penyimpanan dalam satu Availability Zone (AZ). Sistem file multi-AZ terdiri dari cluster server file Windows dengan ketersediaan tinggi yang tersebar di dua Availability Zone. Kami merekomendasikan penggunaan tipe penyebaran Multi-AZ untuk sebagian besar beban kerja produksi karena ketersediaan tinggi dan model daya tahan yang disediakannya.

### Remediasi
<a name="fsx-5-remediation"></a>

Anda dapat mengonfigurasi sistem file Amazon FSx untuk Windows File Server untuk menggunakan jenis penyebaran Multi-AZ saat Anda membuat sistem file. Anda tidak dapat mengubah jenis penerapan untuk sistem file Windows File Server yang sudah ada FSx .

Untuk informasi tentang jenis dan opsi penerapan FSx untuk sistem file Windows File Server, lihat [Ketersediaan dan daya tahan: Sistem file Single-AZ dan Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) dan [Memulai Amazon FSx untuk Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) di *Amazon FSx untuk Windows File Server* Panduan Pengguna. 

# Kontrol CSPM Security Hub untuk Global Accelerator
<a name="globalaccelerator-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Global Accelerator layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
<a name="globalaccelerator-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GlobalAccelerator::Accelerator`

**AWS Config aturan:** `tagged-globalaccelerator-accelerator` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Global Accelerator akselerator memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika akselerator tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika akselerator tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="globalaccelerator-1-remediation"></a>

*Untuk menambahkan tag ke akselerator global Akselerator Global, lihat [Menandai AWS Global Accelerator di Panduan Pengembang](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html)AWS Global Accelerator .*

# Kontrol CSPM Security Hub untuk AWS Glue
<a name="glue-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Glue layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## AWS Glue Pekerjaan [Glue.1] harus ditandai
<a name="glue-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Glue::Job`

**AWS Config aturan:** `tagged-glue-job` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Glue pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="glue-1-remediation"></a>

Untuk menambahkan tag ke AWS Glue pekerjaan, lihat [AWS tag AWS Glue di](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) *Panduan AWS Glue Pengguna*.

## [Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat
<a name="glue-3"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Glue::MLTransform`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak

Kontrol ini memeriksa apakah transformasi pembelajaran AWS Glue mesin dienkripsi saat istirahat. Kontrol gagal jika transformasi pembelajaran mesin tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="glue-3-remediation"></a>

Untuk mengonfigurasi enkripsi untuk transformasi pembelajaran AWS Glue mesin, lihat [Bekerja dengan transformasi pembelajaran mesin](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) di *AWS Glue Panduan Pengguna*.

## [Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue
<a name="glue-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Glue::Job`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**`minimumSupportedGlueVersion`: `3.0` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pekerjaan AWS Glue for Spark dikonfigurasi untuk berjalan pada versi yang didukung. AWS Glue Kontrol gagal jika pekerjaan Spark dikonfigurasi untuk berjalan pada versi yang lebih awal dari versi minimum yang didukung. AWS Glue 

**catatan**  
Kontrol ini juga menghasilkan `FAILED` temuan untuk pekerjaan Spark jika properti AWS Glue version (`GlueVersion`) tidak ada atau null dalam item konfigurasi (CI) untuk pekerjaan tersebut. AWS Glue Dalam kasus seperti itu, temuan tersebut mencakup anotasi berikut:`GlueVersion is null or missing in glueetl job configuration`. Untuk mengatasi jenis `FAILED` temuan ini, tambahkan `GlueVersion` properti ke konfigurasi pekerjaan. Untuk daftar versi dan lingkungan runtime yang didukung, lihat [AWS Glue Versi](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) dalam *Panduan AWS Glue Pengguna*.

Menjalankan pekerjaan AWS Glue Spark pada versi saat ini AWS Glue dapat mengoptimalkan kinerja, keamanan, dan akses ke fitur terbaru. AWS Glue Ini juga dapat membantu melindungi terhadap kerentanan keamanan. Misalnya, versi baru mungkin dirilis untuk menyediakan pembaruan keamanan, mengatasi masalah, atau memperkenalkan fitur baru.

### Remediasi
<a name="glue-4-remediation"></a>

*Untuk informasi tentang memigrasi pekerjaan Spark ke versi yang didukung AWS Glue, lihat [Memigrasi AWS Glue pekerjaan Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) di Panduan Pengguna.AWS Glue *

# Kontrol CSPM Security Hub untuk Amazon GuardDuty
<a name="guardduty-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi GuardDuty layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [GuardDuty.1] GuardDuty harus diaktifkan
<a name="guardduty-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12),, (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 Nist.800-53.R5 SI-20, Nist.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-4, NIST.800-53.r5 SA-8 Nist.800-53.R5 SI-4 NIST.800-53.r5 SC-5, Nist.800-53.r5 SI-4 .800-53.R5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 3.R5 SI-4 (5), Nist.800-171.r2 3.4.2, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon GuardDuty diaktifkan di GuardDuty akun dan Wilayah Anda.

Sangat disarankan agar Anda mengaktifkan GuardDuty di semua AWS Wilayah yang didukung. Melakukannya memungkinkan GuardDuty untuk menghasilkan temuan tentang aktivitas yang tidak sah atau tidak biasa, bahkan di Wilayah yang tidak Anda gunakan secara aktif. Ini juga memungkinkan GuardDuty untuk memantau CloudTrail peristiwa untuk global Layanan AWS seperti IAM.

### Remediasi
<a name="guardduty-1-remediation"></a>

Untuk mengaktifkan GuardDuty, lihat [Memulai GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) di *Panduan GuardDuty Pengguna Amazon*.

## [GuardDuty.2] GuardDuty filter harus diberi tag
<a name="guardduty-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::Filter`

**AWS Config aturan:** `tagged-guardduty-filter` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah GuardDuty filter Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika filter tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika filter tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-2-remediation"></a>

Untuk menambahkan tag ke GuardDuty filter, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.3] GuardDuty IPSets harus ditandai
<a name="guardduty-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::IPSet`

**AWS Config aturan:** `tagged-guardduty-ipset` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah Amazon GuardDuty IPSet memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika IPSet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika IPSet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-3-remediation"></a>

Untuk menambahkan tag ke a GuardDuty IPSet, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.4] GuardDuty detektor harus ditandai
<a name="guardduty-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan:** `tagged-guardduty-detector` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah GuardDuty detektor Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika detektor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika detektor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="guardduty-4-remediation"></a>

Untuk menambahkan tag ke GuardDuty detektor, lihat [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)di *Referensi Amazon GuardDuty API*.

## [GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
<a name="guardduty-5"></a>

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Pemantauan Log Audit GuardDuty EKS diaktifkan. Untuk akun mandiri, kontrol gagal jika Pemantauan Log Audit GuardDuty EKS dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Pemantauan Log Audit EKS.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Pemantauan Log Audit EKS untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Pemantauan Log Audit GuardDuty EKS. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Pemantauan Log Audit EKS membantu Anda mendeteksi aktivitas yang berpotensi mencurigakan di kluster Amazon Elastic Kubernetes Service (Amazon EKS). EKS Audit Log Monitoring menggunakan log audit Kubernetes untuk menangkap aktivitas kronologis dari pengguna, aplikasi yang menggunakan Kubernetes API, dan control plane.

### Remediasi
<a name="guardduty-5-remediation"></a>

Untuk mengaktifkan Pemantauan Log Audit GuardDuty [EKS, lihat Pemantauan Log Audit EKS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) di *Panduan GuardDuty Pengguna Amazon*.

## [GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
<a name="guardduty-6"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan Lambda untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Lambda Protection membantu Anda mengidentifikasi potensi ancaman keamanan saat suatu AWS Lambda fungsi dipanggil. Setelah Anda mengaktifkan Perlindungan Lambda, GuardDuty mulai memantau log aktivitas jaringan Lambda yang terkait dengan fungsi Lambda di Anda. Akun AWS Ketika fungsi Lambda dipanggil dan GuardDuty mengidentifikasi lalu lintas jaringan mencurigakan yang menunjukkan adanya potongan kode yang berpotensi berbahaya dalam fungsi Lambda Anda, menghasilkan temuan. GuardDuty 

### Remediasi
<a name="guardduty-6-remediation"></a>

*Untuk mengaktifkan Perlindungan GuardDuty Lambda, lihat [Mengonfigurasi Perlindungan Lambda di Panduan Pengguna](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) Amazon. GuardDuty *

## [GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
<a name="guardduty-7"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah GuardDuty EKS Runtime Monitoring dengan manajemen agen otomatis diaktifkan. Untuk akun mandiri, kontrol gagal jika GuardDuty EKS Runtime Monitoring dengan manajemen agen otomatis dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak memiliki EKS Runtime Monitoring dengan manajemen agen otomatis diaktifkan.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur EKS Runtime Monitoring dengan manajemen agen otomatis untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan GuardDuty EKS Runtime Monitoring. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

Perlindungan EKS di Amazon GuardDuty menyediakan cakupan deteksi ancaman untuk membantu Anda melindungi kluster Amazon EKS di AWS lingkungan Anda. EKS Runtime Monitoring menggunakan peristiwa tingkat sistem operasi untuk membantu Anda mendeteksi potensi ancaman di node dan kontainer EKS dalam kluster EKS Anda. 

### Remediasi
<a name="guardduty-7-remediation"></a>

Untuk mengaktifkan Pemantauan Runtime EKS dengan manajemen agen otomatis, lihat [Mengaktifkan Pemantauan GuardDuty Runtime](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) di Panduan Pengguna *Amazon GuardDuty *.

## [GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
<a name="guardduty-8"></a>

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty Malware diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty Malware dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan Malware.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan Malware untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty Malware. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

GuardDuty Perlindungan Malware untuk EC2 membantu Anda mendeteksi potensi keberadaan malware dengan memindai volume Amazon Elastic Block Store (Amazon EBS) yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan beban kerja container. Perlindungan Malware menyediakan opsi pemindaian di mana Anda dapat memutuskan apakah Anda ingin menyertakan atau mengecualikan instans EC2 tertentu dan beban kerja kontainer pada saat pemindaian. Ini juga menyediakan opsi untuk menyimpan snapshot volume EBS yang dilampirkan ke instans EC2 atau beban kerja kontainer, di akun Anda. GuardDuty Cuplikan disimpan hanya ketika malware ditemukan dan temuan Perlindungan Malware dihasilkan. 

### Remediasi
<a name="guardduty-8-remediation"></a>

*Untuk mengaktifkan Perlindungan GuardDuty Malware untuk EC2, lihat [Mengonfigurasi GuardDuty pemindaian malware yang dimulai di Panduan Pengguna](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) Amazon. GuardDuty *

## [GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan
<a name="guardduty-9"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty RDS diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty RDS dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan RDS.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan RDS untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty RDS. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

Perlindungan RDS dalam GuardDuty analisis dan profil Aktivitas login RDS untuk potensi ancaman akses ke database Amazon Aurora Anda (Edisi yang kompatibel dengan Aurora MySQL dan Edisi yang kompatibel dengan Aurora PostgreSQL). Fitur ini memungkinkan Anda mengidentifikasi perilaku login yang berpotensi mencurigakan. Perlindungan RDS tidak memerlukan infrastruktur tambahan; itu dirancang agar tidak mempengaruhi kinerja instance database Anda. Ketika RDS Protection mendeteksi upaya login yang berpotensi mencurigakan atau anomali yang menunjukkan ancaman terhadap database Anda, GuardDuty menghasilkan temuan baru dengan detail tentang database yang berpotensi dikompromikan. 

### Remediasi
<a name="guardduty-9-remediation"></a>

Untuk mengaktifkan Perlindungan GuardDuty RDS, lihat [Perlindungan GuardDuty RDS](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) di * GuardDuty Panduan Pengguna Amazon*.

## [GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan
<a name="guardduty-10"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.5.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Perlindungan GuardDuty S3 diaktifkan. Untuk akun mandiri, kontrol gagal jika Perlindungan GuardDuty S3 dinonaktifkan di akun. Dalam lingkungan multi-akun, kontrol gagal jika akun GuardDuty administrator yang didelegasikan dan semua akun anggota tidak mengaktifkan Perlindungan S3.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur Perlindungan S3 untuk akun anggota di organisasi. GuardDuty akun anggota tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika GuardDuty administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan Perlindungan GuardDuty S3. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini. GuardDuty

S3 Protection memungkinkan GuardDuty untuk memantau operasi API tingkat objek untuk mengidentifikasi potensi risiko keamanan data dalam bucket Amazon Simple Storage Service (Amazon S3). GuardDuty memantau ancaman terhadap sumber daya S3 Anda dengan menganalisis peristiwa AWS CloudTrail manajemen dan peristiwa data CloudTrail S3. 

### Remediasi
<a name="guardduty-10-remediation"></a>

Untuk mengaktifkan Perlindungan GuardDuty S3, lihat Perlindungan [Amazon S3 di GuardDuty Amazon di](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) Panduan Pengguna * GuardDuty Amazon*.

## [GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
<a name="guardduty-11"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Runtime Monitoring diaktifkan di Amazon GuardDuty. Untuk akun mandiri, kontrol gagal jika GuardDuty Runtime Monitoring dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika GuardDuty Runtime Monitoring dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan GuardDuty Runtime Monitoring untuk akun di organisasi mereka. Selain itu, hanya GuardDuty administrator yang dapat mengonfigurasi dan mengelola agen keamanan yang GuardDuty digunakan untuk pemantauan runtime AWS beban kerja dan sumber daya untuk akun di organisasi. GuardDuty akun anggota tidak dapat mengaktifkan, mengonfigurasi, atau menonaktifkan Runtime Monitoring untuk akun mereka sendiri.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman, seperti kluster Amazon EKS dan instans Amazon EC2.

### Remediasi
<a name="guardduty-11-remediation"></a>

*Untuk informasi tentang mengonfigurasi dan mengaktifkan GuardDuty Runtime Monitoring, lihat Runtime [Monitoring dan Mengaktifkan GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) [di GuardDuty Panduan](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) Pengguna Amazon. GuardDuty *

## [GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
<a name="guardduty-12"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah agen keamanan GuardDuty otomatis Amazon diaktifkan untuk pemantauan runtime kluster Amazon ECS aktif. AWS Fargate Untuk akun mandiri, kontrol gagal jika agen keamanan dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika agen keamanan dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, kontrol ini menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Ini karena hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan Runtime Monitoring sumber daya ECS-Fargate untuk akun di organisasi mereka. GuardDuty Akun anggota tidak dapat melakukan ini untuk akun mereka sendiri. Selain itu, kontrol ini menghasilkan `FAILED` temuan jika GuardDuty ditangguhkan untuk akun anggota dan Runtime Monitoring sumber daya ECS-Fargate dinonaktifkan untuk akun anggota. Untuk menerima `PASSED` temuan, GuardDuty administrator harus memisahkan akun anggota yang ditangguhkan dari akun administrator mereka dengan menggunakan GuardDuty.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman. Ini termasuk kluster Amazon ECS di. AWS Fargate

### Remediasi
<a name="guardduty-12-remediation"></a>

Untuk mengaktifkan dan mengelola agen keamanan untuk GuardDuty Runtime Monitoring sumber daya ECS-Fargate, Anda harus menggunakannya secara langsung. GuardDuty Anda tidak dapat mengaktifkan atau mengelolanya secara manual untuk sumber daya ECS-Fargate. *Untuk informasi tentang mengaktifkan dan mengelola agen keamanan, lihat [Prasyarat untuk dukungan AWS Fargate (khusus Amazon ECS) dan Mengelola agen keamanan otomatis untuk AWS Fargate (khusus](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) [Amazon ECS) di Panduan Pengguna Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html). GuardDuty *

## [GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
<a name="guardduty-13"></a>

**Kategori:** Deteksi > Layanan Deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::GuardDuty::Detector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah agen keamanan GuardDuty otomatis Amazon diaktifkan untuk pemantauan runtime instans Amazon EC2. Untuk akun mandiri, kontrol gagal jika agen keamanan dinonaktifkan untuk akun tersebut. Dalam lingkungan multi-akun, kontrol gagal jika agen keamanan dinonaktifkan untuk akun GuardDuty administrator yang didelegasikan dan semua akun anggota.

Dalam lingkungan multi-akun, kontrol ini menghasilkan temuan hanya di akun GuardDuty administrator yang didelegasikan. Ini karena hanya GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan Pemantauan Waktu Proses instans Amazon EC2 untuk akun di organisasi mereka. GuardDuty Akun anggota tidak dapat melakukan ini untuk akun mereka sendiri. Selain itu, kontrol ini menghasilkan `FAILED` temuan jika GuardDuty ditangguhkan untuk akun anggota dan Pemantauan Runtime instans EC2 dinonaktifkan untuk akun anggota. Untuk menerima `PASSED` temuan, GuardDuty administrator harus memisahkan akun anggota yang ditangguhkan dari akun administrator mereka dengan menggunakan GuardDuty.

GuardDuty Runtime Monitoring mengamati dan menganalisis tingkat sistem operasi, jaringan, dan peristiwa file untuk membantu Anda mendeteksi potensi ancaman dalam beban kerja tertentu AWS di lingkungan Anda. Ini menggunakan agen GuardDuty keamanan yang menambahkan visibilitas ke dalam perilaku runtime, seperti akses file, eksekusi proses, argumen baris perintah, dan koneksi jaringan. Anda dapat mengaktifkan dan mengelola agen keamanan untuk setiap jenis sumber daya yang ingin Anda pantau untuk potensi ancaman. Ini termasuk instans Amazon EC2.

### Remediasi
<a name="guardduty-13-remediation"></a>

*Untuk informasi tentang mengonfigurasi dan mengelola agen keamanan otomatis untuk Pemantauan GuardDuty Waktu Proses instans EC2, lihat [Prasyarat untuk dukungan instans Amazon EC2 dan Mengaktifkan agen keamanan otomatis untuk instans Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [di Panduan Pengguna Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *

# Kontrol CSPM Security Hub untuk AWS Identity and Access Management
<a name="iam-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Identity and Access Management (IAM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh
<a name="iam-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.22, Tolok Ukur AWS Yayasan CIS v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7), NIST.800-53.r5 AC-2,, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludePermissionBoundaryPolicy: true`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah versi default kebijakan IAM (juga dikenal sebagai kebijakan yang dikelola pelanggan) memiliki akses administrator dengan menyertakan pernyataan dengan `"Effect": "Allow"` with `"Action": "*"` over`"Resource": "*"`. Kontrol gagal jika Anda memiliki kebijakan IAM dengan pernyataan seperti itu.

Kontrol hanya memeriksa kebijakan terkelola pelanggan yang Anda buat. Itu tidak memeriksa kebijakan sebaris dan AWS terkelola.

Kebijakan IAM mendefinisikan serangkaian hak istimewa yang diberikan kepada pengguna, grup, atau peran. Mengikuti saran keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas. Bila Anda memberikan hak administratif penuh alih-alih set izin minimum yang dibutuhkan pengguna, Anda mengekspos sumber daya ke tindakan yang mungkin tidak diinginkan.

Alih-alih mengizinkan hak administratif penuh, tentukan apa yang perlu dilakukan pengguna dan kemudian buat kebijakan yang memungkinkan pengguna hanya melakukan tugas-tugas tersebut. Lebih aman untuk memulai dengan set izin minimum dan memberikan izin tambahan seperlunya. Jangan mulai dengan izin yang terlalu lunak dan kemudian coba kencangkan nanti.

Anda harus menghapus kebijakan IAM yang memiliki pernyataan dengan `"Effect": "Allow" ` with `"Action": "*"` over`"Resource": "*"`.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-1-remediation"></a>

Untuk mengubah kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “\$1” penuh, lihat [Mengedit kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) di Panduan Pengguna *IAM*.

## [IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
<a name="iam-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.14, Tolok Ukur Yayasan CIS v3.0.0/1.15, Tolok Ukur AWS Yayasan CIS v1.2.0/1.16,, (1),, (15), (7),, NIST.800-53.r5 AC-2 (3), AWS Nist.800-171.r2 3.1.1, Nist.800-171.r2 3.1.2, Nist.800-171.r2 3.1.7 NIST.800-53.r5 AC-2, Nist.800-171.r2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 Nist.800-171.r2 3.13.3 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kebijakan yang dilampirkan. Kontrol gagal jika pengguna IAM Anda memiliki kebijakan yang dilampirkan. Sebagai gantinya, pengguna IAM harus mewarisi izin dari grup IAM atau mengambil peran.

Secara default, pengguna IAM, grup, dan peran tidak memiliki akses ke AWS sumber daya. Kebijakan IAM memberikan hak istimewa kepada pengguna, grup, atau peran. Kami menyarankan Anda menerapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Menetapkan hak istimewa di grup atau tingkat peran mengurangi kompleksitas manajemen akses seiring bertambahnya jumlah pengguna. Mengurangi kompleksitas manajemen akses pada gilirannya dapat mengurangi kesempatan bagi kepala sekolah untuk secara tidak sengaja menerima atau mempertahankan hak istimewa yang berlebihan. 

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-2-remediation"></a>

Untuk mengatasi masalah ini, [buat grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html), dan lampirkan kebijakan ke grup. Kemudian, [tambahkan pengguna ke grup](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). Kebijakan ini diterapkan untuk setiap pengguna dalam grup. Untuk menghapus kebijakan yang dilampirkan langsung ke pengguna, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna *IAM*.

## [IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
<a name="iam-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.13, Tolok Ukur Yayasan CIS v3.0.0/1.14, Tolok Ukur AWS Yayasan CIS v1.4.0/1.14, Tolok Ukur AWS Yayasan CIS v1.2.0/1.4, (1), (3), (15), PCI DSS v4.0.1/8.3.9, PCI DSS AWS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `maxAccessKeyAge`: `90` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kunci akses aktif diputar dalam 90 hari.

Kami sangat menyarankan agar Anda tidak membuat dan menghapus semua kunci akses di akun Anda. Sebaliknya, praktik terbaik yang disarankan adalah membuat satu atau lebih peran IAM atau menggunakan [federasi](https://aws.amazon.com/identity/federation/) melalui AWS IAM Identity Center. Anda dapat menggunakan metode ini untuk memungkinkan pengguna Anda mengakses Konsol Manajemen AWS dan AWS CLI.

Setiap pendekatan memiliki kasus penggunaannya. Federasi umumnya lebih baik untuk perusahaan yang memiliki direktori pusat yang ada atau berencana untuk membutuhkan lebih dari batas saat ini pada pengguna IAM. Aplikasi yang berjalan di luar AWS lingkungan membutuhkan kunci akses untuk akses terprogram ke AWS sumber daya.

Namun, jika sumber daya yang membutuhkan akses terprogram berjalan di dalam AWS, praktik terbaik adalah menggunakan peran IAM. Peran memungkinkan Anda untuk memberikan akses sumber daya tanpa hardcoding ID kunci akses dan kunci akses rahasia ke dalam konfigurasi.

Untuk mempelajari selengkapnya tentang melindungi kunci akses dan akun Anda, lihat [Praktik terbaik untuk mengelola kunci AWS akses](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) di *Referensi Umum AWS*. Lihat juga [pedoman posting blog untuk melindungi Anda Akun AWS saat menggunakan akses terprogram](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).

Jika Anda sudah memiliki kunci akses, Security Hub CSPM merekomendasikan agar Anda memutar kunci akses setiap 90 hari. Memutar kunci akses mengurangi kemungkinan kunci akses yang terkait dengan akun yang disusupi atau dihentikan digunakan. Ini juga memastikan bahwa data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, retak, atau dicuri. Selalu perbarui aplikasi Anda setelah Anda memutar tombol akses. 

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia. Mereka digunakan untuk menandatangani permintaan terprogram yang Anda buat. AWS Pengguna memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram AWS dari AWS CLI, Alat untuk Windows PowerShell AWS SDKs, atau panggilan HTTP langsung menggunakan operasi API untuk individu Layanan AWS.

Jika organisasi Anda menggunakan AWS IAM Identity Center (Pusat Identitas IAM), pengguna Anda dapat masuk ke Active Directory, direktori Pusat Identitas IAM bawaan, atau [penyedia identitas lain (iDP) yang terhubung ke Pusat Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) IAM. Mereka kemudian dapat dipetakan ke peran IAM yang memungkinkan mereka menjalankan AWS CLI perintah atau memanggil operasi AWS API tanpa perlu kunci akses. Untuk mempelajari lebih lanjut, lihat [Mengonfigurasi AWS CLI yang akan digunakan AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) dalam *Panduan AWS Command Line Interface Pengguna*.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-3-remediation"></a>

Untuk memutar tombol akses yang lebih tua dari 90 hari, lihat [Memutar kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) di *Panduan Pengguna IAM*. Ikuti petunjuk untuk setiap pengguna dengan **usia kunci Access** lebih dari 90 hari.

## [IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada
<a name="iam-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.3, Tolok Ukur Yayasan CIS v3.0.0/1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/1.4, Tolok Ukur AWS Yayasan CIS v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7),, (10), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Kritis 

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kunci akses pengguna root ada. 

Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. AWS kunci akses menyediakan akses terprogram ke akun tertentu.

Security Hub CSPM merekomendasikan agar Anda menghapus semua kunci akses yang terkait dengan pengguna root. Ini membatasi vektor yang dapat digunakan untuk membahayakan akun Anda. Ini juga mendorong pembuatan dan penggunaan akun berbasis peran yang paling tidak memiliki hak istimewa. 

### Remediasi
<a name="iam-4-remediation"></a>

Untuk menghapus kunci akses pengguna root, lihat [Menghapus kunci akses untuk pengguna root di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) *IAM*. Untuk menghapus kunci akses pengguna root dari Akun AWS dalam AWS GovCloud (US), lihat [Menghapus kunci akses pengguna root AWS GovCloud (US) akun saya](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) di *Panduan AWS GovCloud (US) Pengguna*.

## [IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
<a name="iam-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.9, Tolok Ukur AWS Yayasan CIS v3.0.0/1.10, Tolok Ukur Yayasan CIS v1.4.0/1.10, Tolok Ukur AWS Yayasan CIS v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah otentikasi AWS multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang menggunakan kata sandi konsol.

Otentikasi multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS situs web, mereka diminta untuk nama pengguna dan kata sandi mereka. Selain itu, mereka diminta untuk kode otentikasi dari perangkat MFA AWS mereka.

Kami menyarankan Anda mengaktifkan MFA untuk semua akun yang memiliki kata sandi konsol. MFA dirancang untuk memberikan peningkatan keamanan untuk akses konsol. Prinsipal otentikasi harus memiliki perangkat yang memancarkan kunci sensitif waktu dan harus memiliki pengetahuan tentang kredensi.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-5-remediation"></a>

*Untuk menambahkan MFA bagi pengguna IAM, lihat [Menggunakan otentikasi multi-faktor (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) di Panduan Pengguna IAM. AWS*

## [IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
<a name="iam-6"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.5, Tolok Ukur AWS Yayasan CIS v3.0.0/1.6, Tolok Ukur Yayasan CIS v1.4.0/1.6, Tolok Ukur AWS Yayasan CIS v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), (1), (2), (6), (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda Akun AWS diaktifkan untuk menggunakan perangkat autentikasi multi-faktor perangkat keras (MFA) untuk masuk dengan kredenal pengguna root. Kontrol gagal jika MFA perangkat keras tidak diaktifkan atau perangkat MFA virtual diizinkan untuk masuk dengan kredensi pengguna root.

MFA virtual mungkin tidak memberikan tingkat keamanan yang sama dengan perangkat MFA perangkat keras. Kami menyarankan Anda menggunakan perangkat MFA virtual hanya saat Anda menunggu persetujuan pembelian perangkat keras atau perangkat keras Anda tiba. Untuk mempelajari selengkapnya, lihat [Menetapkan perangkat MFA virtual (konsol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)) di Panduan Pengguna *IAM*.

**catatan**  
Security Hub CSPM mengevaluasi kontrol ini berdasarkan keberadaan kredensi pengguna root (profil login) di file. Akun AWS Kontrol menghasilkan `PASSED` temuan dalam kasus-kasus berikut:  
Kredensi pengguna root hadir di akun dan perangkat keras MFA diaktifkan untuk pengguna root.
Kredensi pengguna root tidak ada di akun.
Kontrol menghasilkan `FAILED` temuan jika kredensi pengguna root ada di akun dan MFA perangkat keras tidak diaktifkan untuk pengguna root.

### Remediasi
<a name="iam-6-remediation"></a>

*Untuk informasi tentang mengaktifkan MFA perangkat keras untuk pengguna root, [lihat Autentikasi multi-faktor untuk Pengguna root akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) di Panduan Pengguna IAM.*

## [IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
<a name="iam-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), Nist.800-171.r2 3.5.2, NIST.800-53.r5 IA-5 Nist.800-171.r2 3.5.7, Nist.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  Memerlukan setidaknya satu karakter huruf besar dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireLowercaseCharacters`  |  Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireSymbols`  |  Memerlukan setidaknya satu simbol dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `RequireNumbers`  |  Memerlukan setidaknya satu nomor dalam kata sandi  |  Boolean  |  `true` atau `false`  |  `true`  | 
|  `MinimumPasswordLength`  |  Jumlah minimum karakter dalam kata sandi  |  Bilangan Bulat  |  `8` untuk `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  Jumlah rotasi kata sandi sebelum kata sandi lama dapat digunakan kembali  |  Bilangan Bulat  |  `12` untuk `24`  |  Tidak ada nilai default  | 
|  `MaxPasswordAge`  |  Jumlah hari sebelum kedaluwarsa kata sandi  |  Bilangan Bulat  |  `1` untuk `90`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi yang kuat. Kontrol gagal jika kebijakan kata sandi tidak menggunakan konfigurasi yang kuat. Kecuali Anda memberikan nilai parameter kustom, Security Hub CSPM menggunakan nilai default yang disebutkan dalam tabel sebelumnya. `MaxPasswordAge`Parameter `PasswordReusePrevention` dan tidak memiliki nilai default, jadi jika Anda mengecualikan parameter ini, Security Hub CSPM mengabaikan jumlah rotasi kata sandi dan usia kata sandi saat mengevaluasi kontrol ini.

Untuk mengakses Konsol Manajemen AWS, pengguna IAM memerlukan kata sandi. Sebagai praktik terbaik, Security Hub CSPM sangat merekomendasikan bahwa alih-alih membuat pengguna IAM, Anda menggunakan federasi. Federasi memungkinkan pengguna untuk menggunakan kredensi perusahaan mereka yang ada untuk masuk ke. Konsol Manajemen AWS Gunakan AWS IAM Identity Center (IAM Identity Center) untuk membuat atau menyatukan pengguna, dan kemudian mengambil peran IAM ke dalam akun.

Untuk mempelajari lebih lanjut tentang penyedia identitas dan federasi, lihat [Penyedia identitas dan federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) di *Panduan Pengguna IAM*. Untuk mempelajari selengkapnya tentang Pusat Identitas IAM, lihat [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

 Jika Anda perlu menggunakan pengguna IAM, Security Hub CSPM merekomendasikan agar Anda menerapkan pembuatan kata sandi pengguna yang kuat. Anda dapat menetapkan kebijakan kata sandi Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi. Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diberlakukan saat pengguna mengubah kata sandi mereka berikutnya. Beberapa pengaturan diberlakukan segera.

### Remediasi
<a name="iam-7-remediation"></a>

Untuk memperbarui kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*.

## [IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
<a name="iam-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2, (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-2 Nist.800-171.r2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang 

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `maxCredentialUsageAge`: `90` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 90 hari.

Pengguna IAM dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses. 

Security Hub CSPM merekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang tidak digunakan selama 90 hari atau lebih. Menonaktifkan atau menghapus kredensil yang tidak perlu mengurangi jendela peluang untuk kredensil yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-8-remediation"></a>

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk **usia kunci Access, Usia** **kata sandi**, dan **Aktivitas terakhir**. Jika nilai di salah satu kolom ini lebih besar dari 90 hari, buat kredensil untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan [laporan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 90 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam `.csv` format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat [Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) di Panduan Pengguna *IAM*.

## [IAM.9] MFA harus diaktifkan untuk pengguna root
<a name="iam-9"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, Tolok Ukur Yayasan CIS v3.0.0/1.5, Tolok Ukur Yayasan CIS v1.4.0/1.5, Tolok Ukur AWS Yayasan CIS v1.2.0/1.13, (1), (15), (1), (2), (6), (8) AWS AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk pengguna root IAM untuk masuk Akun AWS ke. Konsol Manajemen AWS Kontrol gagal jika MFA tidak diaktifkan untuk pengguna root akun.

Pengguna root IAM Akun AWS memiliki akses lengkap ke semua layanan dan sumber daya di akun. Jika MFA diaktifkan, pengguna harus memasukkan nama pengguna, kata sandi, dan kode otentikasi dari perangkat AWS MFA mereka untuk masuk ke. Konsol Manajemen AWS MFA menambahkan lapisan perlindungan ekstra di atas nama pengguna dan kata sandi.

Kontrol ini menghasilkan `PASSED` temuan dalam kasus-kasus berikut:
+ Kredensi pengguna root ada di akun dan MFA diaktifkan untuk pengguna root.
+ Kredensi pengguna root tidak ada di akun.

Kontrol menghasilkan `FAILED` temuan jika kredensi pengguna root ada di akun dan MFA tidak diaktifkan untuk pengguna root.

### Remediasi
<a name="iam-9-remediation"></a>

*Untuk informasi tentang mengaktifkan MFA untuk pengguna root, [lihat Autentikasi multi-faktor untuk Pengguna root akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) Panduan Pengguna. Akun AWSAWS Identity and Access Management *

## [IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
<a name="iam-10"></a>

**Persyaratan terkait:** Nist.800-171.r2 3.5.2, Nist.800-171.r2 3.5.7, Nist.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi DSS PCI minimum berikut.
+ `RequireUppercaseCharacters`— Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. (Default = `true`)
+ `RequireLowercaseCharacters`— Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. (Default = `true`)
+ `RequireNumbers`— Memerlukan setidaknya satu nomor dalam kata sandi. (Default = `true`)
+ `MinimumPasswordLength`— Panjang minimum kata sandi. (Default = 7 atau lebih)
+ `PasswordReusePrevention`— Jumlah kata sandi sebelum mengizinkan penggunaan kembali. (Default = 4)
+ `MaxPasswordAge`— Jumlah hari sebelum kedaluwarsa kata sandi. (Default = 90)

**catatan**  
Pada 30 Mei 2025, Security Hub CSPM menghapus kontrol ini dari standar PCI DSS v4.0.1. PCI DSS v4.0.1 sekarang membutuhkan kata sandi untuk memiliki minimal 8 karakter. Kontrol ini terus berlaku untuk standar PCI DSS v3.2.1, yang memiliki persyaratan kata sandi yang berbeda.  
[Untuk mengevaluasi kebijakan kata sandi akun terhadap persyaratan PCI DSS v4.0.1, Anda dapat menggunakan kontrol IAM.7.](#iam-7) Kontrol ini membutuhkan kata sandi untuk memiliki minimal 8 karakter. Ini juga mendukung nilai khusus untuk panjang kata sandi dan parameter lainnya. Kontrol IAM.7 adalah bagian dari standar PCI DSS v4.0.1 di Security Hub CSPM.

### Remediasi
<a name="iam-10-remediation"></a>

Untuk memperbarui kebijakan kata sandi agar menggunakan konfigurasi yang disarankan, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*.

## [IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
<a name="iam-11"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.5, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf besar. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-11-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu huruf besar dari alfabet Latin (**A—Z).

## [IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
<a name="iam-12"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.6, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda. CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf kecil. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-12-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu huruf kecil dari alfabet Latin (**A—Z).

## [IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
<a name="iam-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.7, NIST.800-171.R2 3.5.7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu simbol. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-13-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Password**, pilih **Memerlukan setidaknya satu karakter nonalfanumerik**.

## [IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
<a name="iam-14"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.8, Nist.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu nomor. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-14-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **kekuatan Kata Sandi**, pilih **Memerlukan setidaknya satu nomor**.

## [IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih
<a name="iam-15"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.7, Tolok Ukur Yayasan CIS v3.0.0/1.8, Tolok Ukur Yayasan CIS v1.4.0/1.8, Tolok Ukur AWS Yayasan CIS v1.2.0/1.9, Nist.800-171.r2 3.5.7 AWS AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan kata sandi IAM untuk memastikan bahwa kata sandi setidaknya memiliki panjang tertentu.

CIS merekomendasikan bahwa kebijakan kata sandi memerlukan panjang kata sandi minimum 14 karakter. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-15-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **panjang minimum Kata Sandi**, masukkan **14** atau nomor yang lebih besar.

## [IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
<a name="iam-16"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.8, Tolok Ukur Yayasan CIS v3.0.0/1.9, Tolok Ukur Yayasan CIS v1.4.0/1.9, Tolok Ukur AWS Yayasan CIS v1.2.0/1.10, NIST.800-171.R2 3.5.8, PCI DSS AWS v4.0.1/8.3.7 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jumlah kata sandi yang harus diingat diatur ke 24. Kontrol gagal jika nilainya tidak 24.

Kebijakan kata sandi IAM dapat mencegah penggunaan kembali kata sandi yang diberikan oleh pengguna yang sama.

CIS merekomendasikan agar kebijakan kata sandi mencegah penggunaan kembali kata sandi. Mencegah penggunaan kembali kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.

### Remediasi
<a name="iam-16-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **Mencegah penggunaan kembali kata sandi**, masukkan**24**.

## [IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
<a name="iam-17"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kebijakan kata sandi IAM dapat mengharuskan kata sandi diputar atau kedaluwarsa setelah beberapa hari tertentu.

CIS merekomendasikan agar kebijakan kata sandi kedaluwarsa kata sandi setelah 90 hari atau kurang. Mengurangi masa pakai kata sandi meningkatkan ketahanan akun terhadap upaya login brute force. Memerlukan perubahan kata sandi reguler juga membantu dalam skenario berikut:
+ Kata sandi dapat dicuri atau dikompromikan tanpa sepengetahuan Anda. Ini dapat terjadi melalui kompromi sistem, kerentanan perangkat lunak, atau ancaman internal.
+ Filter web perusahaan dan pemerintah tertentu atau server proxy dapat mencegat dan merekam lalu lintas bahkan jika itu dienkripsi.
+ Banyak orang menggunakan kata sandi yang sama untuk banyak sistem seperti pekerjaan, email, dan pribadi.
+ Workstation pengguna akhir yang dikompromikan mungkin memiliki keystroke logger.

### Remediasi
<a name="iam-17-remediation"></a>

Untuk mengubah kebijakan kata sandi, lihat [Menyetel kebijakan kata sandi akun untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) di *Panduan Pengguna IAM*. Untuk **Aktifkan kedaluwarsa kata sandi**, masukkan **90** atau nomor yang lebih kecil.

## [IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan
<a name="iam-18"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.16, Tolok Ukur Yayasan CIS v3.0.0/1.17, Tolok Ukur Yayasan CIS v1.4.0/1.17, Tolok Ukur AWS Yayasan CIS v1.2.0/1.20, NIST.800-171.R2 3.1.2, PCI DSS AWS v4.0.1/12.10.3 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (tidak dapat disesuaikan)
+ `policyUsageType`: `ANY` (tidak dapat disesuaikan)

AWS menyediakan pusat dukungan yang dapat digunakan untuk pemberitahuan dan respons insiden, serta dukungan teknis dan layanan pelanggan.

Buat peran IAM untuk memungkinkan pengguna yang berwenang mengelola insiden dengan Support AWS . Dengan menerapkan hak istimewa terkecil untuk kontrol akses, peran IAM akan memerlukan kebijakan IAM yang sesuai untuk memungkinkan akses pusat dukungan untuk mengelola insiden dengan. Dukungan

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-18-remediation"></a>

Untuk mengatasi masalah ini, buat peran untuk memungkinkan pengguna yang berwenang mengelola Dukungan insiden.

**Untuk membuat peran yang akan digunakan untuk Dukungan akses**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi IAM, pilih Peran, lalu pilih **Buat** **peran**.

1. Untuk **tipe Peran**, pilih Yang **Lain Akun AWS**.

1. Untuk **ID Akun**, masukkan Akun AWS ID yang Akun AWS ingin Anda berikan akses ke sumber daya Anda.

   Jika pengguna atau grup yang akan mengambil peran ini berada di akun yang sama, maka masukkan nomor akun lokal.
**catatan**  
Administrator akun yang ditentukan dapat memberikan izin untuk mengasumsikan peran ini kepada setiap pengguna dalam akun tersebut. Untuk melakukannya, administrator melampirkan kebijakan kepada pengguna atau grup yang memberikan izin untuk tindakan `sts:AssumeRole`. Dalam kebijakan itu, sumber daya harus menjadi peran ARN.

1. Pilih **Berikutnya: Izin**.

1. Cari kebijakan terkelola`AWSSupportAccess`.

1. Pilih kotak centang untuk kebijakan `AWSSupportAccess` terkelola.

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Untuk menambahkan metadata ke peran, lampirkan tag sebagai pasangan nilai kunci.

   Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Menandai pengguna dan peran IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) Pengguna *IAM*.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **Nama peran**, masukkan nama peran Anda.

   Nama peran harus unik di dalam diri Anda Akun AWS. Mereka tidak peka huruf besar/kecil.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Tinjau peran, lalu pilih **Buat peran**.

## [IAM.19] MFA harus diaktifkan untuk semua pengguna IAM
<a name="iam-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (2), (6), NIST.800-53.r5 IA-2 (8), Nist.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 Nist.800-171.r2 3.5.3, NIST.800-53.r5 IA-2 Nist.800-171.r2 3.5.4, Nist.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, NIST.800-53.r5 IA-2 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM mengaktifkan otentikasi multi-faktor (MFA).

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-19-remediation"></a>

*Untuk menambahkan MFA bagi pengguna IAM, lihat Mengaktifkan [perangkat MFA untuk pengguna di AWS Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) IAM.*

## [IAM.20] Hindari penggunaan pengguna root
<a name="iam-20"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.1

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan:** `use-of-root-account-test` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah a Akun AWS memiliki batasan pada penggunaan pengguna root. Kontrol mengevaluasi sumber daya berikut:
+ Topik Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail jalan setapak
+ Filter metrik yang terkait dengan CloudTrail jejak
+  CloudWatch Alarm Amazon berdasarkan filter

Pemeriksaan ini menghasilkan `FAILED` temuan jika satu atau beberapa pernyataan berikut benar:
+ Tidak ada CloudTrail jejak di akun.
+  CloudTrail Jejak diaktifkan, tetapi tidak dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.
+  CloudTrail Jejak diaktifkan, tetapi tidak terkait dengan grup CloudWatch log Log.
+ Filter metrik yang tepat yang ditentukan oleh Center for Internet Security (CIS) tidak digunakan. Filter metrik yang ditentukan adalah`'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Tidak ada CloudWatch alarm berdasarkan filter metrik di akun.
+ CloudWatch alarm yang dikonfigurasi untuk mengirim notifikasi ke topik SNS terkait tidak dipicu berdasarkan kondisi alarm.
+ Topik SNS tidak sesuai dengan [kendala untuk mengirim pesan ke](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) topik SNS.
+ Topik SNS tidak memiliki setidaknya satu pelanggan.

Pemeriksaan ini menghasilkan status kontrol `NO_DATA` jika satu atau beberapa pernyataan berikut benar:
+ Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
+ Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

Pemeriksaan ini menghasilkan status kontrol `WARNING` jika satu atau beberapa pernyataan berikut benar:
+ Akun saat ini tidak memiliki topik SNS yang direferensikan dalam alarm. CloudWatch 
+ Akun saat ini tidak memiliki akses ke topik SNS saat menjalankan `ListSubscriptionsByTopic` SNS API.

**catatan**  
Sebaiknya gunakan jejak organisasi untuk mencatat peristiwa dari banyak akun di suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO\$1DATA untuk kontrol yang dievaluasi di akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk [melakukan tugas manajemen akun dan layanan](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Terapkan kebijakan IAM secara langsung ke grup dan peran tetapi tidak untuk pengguna. Untuk petunjuk cara menyiapkan administrator untuk penggunaan sehari-hari, lihat [Membuat pengguna dan grup admin IAM pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) di Panduan *Pengguna IAM*.

### Remediasi
<a name="iam-20-remediation"></a>

Langkah-langkah untuk mengatasi masalah ini termasuk menyiapkan topik Amazon SNS, jejak, CloudTrail filter metrik, dan alarm untuk filter metrik.

**Untuk membuat topik Amazon SNS**

1. [Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Buat topik Amazon SNS yang menerima semua alarm CIS.

   Buat setidaknya satu pelanggan untuk topik tersebut. Untuk informasi lebih lanjut, lihat [Memulai dengan Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) di *Panduan Developer Amazon Simple Notification Service*.

Selanjutnya, siapkan aktif CloudTrail yang berlaku untuk semua Wilayah. Untuk melakukannya, ikuti langkah-langkah remediasi di[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1).

Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut.

Terakhir, buat filter metrik dan alarm.

**Untuk membuat filter metrik dan alarm**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pada panel navigasi, pilih **Grup log**.

1. Pilih kotak centang untuk grup CloudWatch log Log yang terkait dengan CloudTrail jejak yang Anda buat.

1. Dari **Tindakan**, pilih **Buat Filter Metrik**.

1. Di bawah **Tentukan pola**, lakukan hal berikut:

   1. Salin pola berikut dan kemudian tempelkan ke bidang **Filter Pattern**.

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. Pilih **Berikutnya**.

1. Di bawah **Tetapkan Metrik**, lakukan hal berikut:

   1. Di **Nama filter**, masukkan nama untuk filter metrik Anda.

   1. Untuk **Metric Namespace, masukkan**. **LogMetrics**

      Jika Anda menggunakan namespace yang sama untuk semua filter metrik log CIS Anda, maka semua metrik Benchmark CIS dikelompokkan bersama.

   1. Untuk **Nama Metrik**, masukkan nama untuk metrik. Ingat nama metrik. Anda harus memilih metrik saat membuat alarm.

   1. Untuk **Metric value** (Nilai metrik), masukkan **1**.

   1. Pilih **Berikutnya**.

1. Di bawah **Tinjau dan buat**, verifikasi informasi yang Anda berikan untuk filter metrik baru. Kemudian, pilih **Buat filter metrik**.

1. Di panel navigasi, pilih **Grup log**, lalu pilih filter yang Anda buat di bawah Filter **metrik**.

1. Pilih kotak centang untuk filter. Pilih **Buat alarm**.

1. Di bawah **Tentukan metrik dan kondisi**, lakukan hal berikut:

   1. Di bawah **Kondisi**, untuk **Ambang Batas**, pilih **Statis**.

   1. Untuk **Tentukan kondisi alarm**, pilih **Greater/Equal**.

   1. Untuk **Tentukan nilai ambang batas**, masukkan**1**.

   1. Pilih **Berikutnya**.

1. Di bawah **Konfigurasi tindakan**, lakukan hal berikut:

   1. Di bawah **Pemicu status alarm**, pilih **Dalam alarm**.

   1. Di bawah **Pilih topik SNS**, pilih **Pilih topik SNS yang sudah ada**.

   1. Untuk **Kirim pemberitahuan ke**, masukkan nama topik SNS yang Anda buat di prosedur sebelumnya.

   1. Pilih **Berikutnya**.

1. Di bawah **Tambahkan nama dan deskripsi**, masukkan **Nama** dan **Deskripsi** untuk alarm, seperti**CIS-1.1-RootAccountUsage**. Lalu pilih **Selanjutnya**.

1. Di bawah **Pratinjau dan buat**, tinjau konfigurasi alarm. Kemudian pilih **Buat alarm**.

## [IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan
<a name="iam-21"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1),, (15), (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3), NIST.800-53.r5 AC-3 Nist.800-171.r2 3.1.1, Nist.800-171.r2 3.1.2 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 Nist.800-171.r2 3.1.5, NIST.800-53.r5 AC-6 Nist.800-171.r2 3.1.7, Nist.800-171.r2 3.3.8, Nist.800-171.r2 3.3.8, Nist.800-171.r2 St.800-171.r2 3.3.9, Nist.800-171.r2 3.13.3, Nist.800-171.r2 3.13.4

**Kategori:** Deteksi > Manajemen akses aman 

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludePermissionBoundaryPolicy`: `True` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan berbasis identitas IAM yang Anda buat memiliki pernyataan Izinkan yang menggunakan wildcard \$1 untuk memberikan izin untuk semua tindakan pada layanan apa pun. Kontrol gagal jika ada pernyataan kebijakan yang disertakan `"Effect": "Allow"` dengan`"Action": "Service:*"`. 

Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang gagal.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

Kontrol juga gagal jika Anda menggunakannya `"Effect": "Allow"``"NotAction": "service:*"`. Dalam hal ini, `NotAction` elemen menyediakan akses ke semua tindakan dalam Layanan AWS, kecuali untuk tindakan yang ditentukan dalam`NotAction`.

Kontrol ini hanya berlaku untuk kebijakan IAM yang dikelola pelanggan. Ini tidak berlaku untuk kebijakan IAM yang dikelola oleh AWS.

Saat Anda menetapkan izin Layanan AWS, penting untuk mencakup tindakan IAM yang diizinkan dalam kebijakan IAM Anda. Anda harus membatasi tindakan IAM hanya pada tindakan yang diperlukan. Ini membantu Anda memberikan izin hak istimewa paling sedikit. Kebijakan yang terlalu permisif dapat menyebabkan eskalasi hak istimewa jika kebijakan tersebut dilampirkan pada prinsipal IAM yang mungkin tidak memerlukan izin.

Dalam beberapa kasus, Anda mungkin ingin mengizinkan tindakan IAM yang memiliki awalan serupa, seperti `DescribeFlowLogs` dan. `DescribeAvailabilityZones` Dalam kasus resmi ini, Anda dapat menambahkan wildcard akhiran ke awalan umum. Misalnya, `ec2:Describe*`.

Kontrol ini lolos jika Anda menggunakan tindakan IAM awalan dengan wildcard berakhiran. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang dilewatkan.

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

Saat mengelompokkan tindakan IAM terkait dengan cara ini, Anda juga dapat menghindari melebihi batas ukuran kebijakan IAM.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-21-remediation"></a>

Untuk mengatasi masalah ini, perbarui kebijakan IAM Anda sehingga tidak mengizinkan hak administratif “\$1” penuh. Untuk detail tentang cara mengedit kebijakan IAM, lihat [Mengedit kebijakan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Pengguna *IAM*.

## [IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
<a name="iam-22"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.11, Tolok Ukur Yayasan CIS v3.0.0/1.12, Tolok Ukur AWS Yayasan CIS v1.4.0/1.12, NIST.800-171.R2 3.1.2 AWS 

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pengguna IAM Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 45 hari atau lebih. Untuk melakukannya, ia memeriksa apakah `maxCredentialUsageAge` parameter AWS Config aturan sama dengan 45 atau lebih.

Pengguna dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses.

CIS merekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang telah tidak digunakan selama 45 hari atau lebih. Menonaktifkan atau menghapus kredensil yang tidak perlu mengurangi jendela peluang untuk kredensil yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.

 AWS Config Aturan untuk kontrol ini menggunakan operasi [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)dan, yang hanya diperbarui setiap empat jam. Perubahan pada pengguna IAM dapat memakan waktu hingga empat jam untuk dapat dilihat oleh kontrol ini.

**catatan**  
AWS Config harus diaktifkan di semua Wilayah di mana Anda menggunakan Security Hub CSPM. Namun, Anda dapat mengaktifkan perekaman sumber daya global dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.

### Remediasi
<a name="iam-22-remediation"></a>

Saat Anda melihat informasi pengguna di konsol IAM, ada kolom untuk **usia kunci Access, Usia** **kata sandi**, dan **Aktivitas terakhir**. Jika nilai di salah satu kolom ini lebih besar dari 45 hari, buat kredensil untuk pengguna tersebut tidak aktif.

Anda juga dapat menggunakan [laporan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 45 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam `.csv` format dari konsol IAM.

Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat [Membuat, mengubah, atau menghapus kata sandi pengguna (konsol) IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) di Panduan Pengguna *IAM*.

## [IAM.23] Penganalisis Akses IAM harus ditandai
<a name="iam-23"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config aturan:** `tagged-accessanalyzer-analyzer` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah penganalisis yang dikelola oleh AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika penganalisis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika penganalisis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-23-remediation"></a>

Untuk menambahkan tag ke analyzer, lihat [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)di Referensi API *AWS IAM Access Analyzer*.

## [IAM.24] Peran IAM harus ditandai
<a name="iam-24"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::Role`

**AWS Config aturan:** `tagged-iam-role` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah peran AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-24-remediation"></a>

Untuk menambahkan tag ke peran IAM, lihat [Menandai sumber daya IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) Pengguna *IAM*.

## [IAM.25] Pengguna IAM harus diberi tag
<a name="iam-25"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IAM::User`

**AWS Config aturan:** `tagged-iam-user` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah pengguna AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pengguna tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pengguna tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iam-25-remediation"></a>

Untuk menambahkan tag ke pengguna IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna *IAM*.

## [IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
<a name="iam-26"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.18, Tolok Ukur Yayasan CIS v3.0.0/1.19 AWS 

**Kategori:** Identifikasi > Kepatuhan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::ServerCertificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah sertifikat SSL/TLS server aktif yang dikelola di IAM telah kedaluwarsa. Kontrol gagal jika sertifikat SSL/TLS server yang kedaluwarsa tidak dihapus.

Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda AWS, Anda memerlukan sertifikat SSL/TLS server. Anda dapat menggunakan IAM atau AWS Certificate Manager (ACM) untuk menyimpan dan menyebarkan sertifikat server. Gunakan IAM sebagai manajer sertifikat hanya jika Anda harus mendukung koneksi HTTPS di Wilayah AWS yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsinya dalam penyimpanan sertifikat IAM SSL. IAM mendukung penerapan sertifikat server di semua Wilayah, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan. AWS Anda tidak dapat mengunggah sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari konsol IAM. Menghapus SSL/TLS sertifikat kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid disebarkan secara tidak sengaja ke sumber daya, yang dapat merusak kredibilitas aplikasi atau situs web yang mendasarinya.

### Remediasi
<a name="iam-26-remediation"></a>

Untuk menghapus sertifikat server dari IAM, lihat [Mengelola sertifikat server di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) di Panduan Pengguna *IAM*.

## [IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess
<a name="iam-27"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.21, Tolok Ukur Yayasan CIS v3.0.0/1.22 AWS 

**Kategori:** Lindungi > Manajemen akses aman > Kebijakan IAM yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ “PolicyArns”: “arn:aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Kontrol ini memeriksa apakah identitas IAM (pengguna, peran, atau grup) memiliki kebijakan AWS terkelola yang `AWSCloudShellFullAccess` dilampirkan. Kontrol gagal jika identitas IAM memiliki `AWSCloudShellFullAccess` kebijakan yang dilampirkan.

AWS CloudShell menyediakan cara mudah untuk menjalankan perintah CLI terhadap. Layanan AWS Kebijakan AWS terkelola `AWSCloudShellFullAccess` menyediakan akses penuh CloudShell, yang memungkinkan kemampuan mengunggah dan mengunduh file antara sistem lokal pengguna dan CloudShell lingkungan. Dalam CloudShell lingkungan, pengguna memiliki izin sudo, dan dapat mengakses internet. Akibatnya, melampirkan kebijakan terkelola ini ke identitas IAM memberi mereka kemampuan untuk menginstal perangkat lunak transfer file dan memindahkan data dari CloudShell ke server internet eksternal. Sebaiknya ikuti prinsip hak istimewa paling sedikit dan melampirkan izin yang lebih sempit ke identitas IAM Anda.

### Remediasi
<a name="iam-27-remediation"></a>

*Untuk melepaskan `AWSCloudShellFullAccess` kebijakan dari identitas IAM, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*

## [IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
<a name="iam-28"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/1.19, Tolok Ukur Yayasan CIS v3.0.0/1.20 AWS 

**Kategori:** Deteksi > Layanan deteksi > Pemantauan penggunaan istimewa

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::AccessAnalyzer::Analyzer`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Akun AWS penganalisis akses eksternal IAM Access Analyzer diaktifkan. Kontrol gagal jika akun tidak mengaktifkan penganalisis akses eksternal di pilihan Wilayah AWS Anda saat ini.

Alat analisis akses eksternal IAM Access Analyzer membantu mengidentifikasi sumber daya, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal. Ini membantu Anda menghindari akses yang tidak diinginkan ke sumber daya dan data Anda. IAM Access Analyzer bersifat Regional dan harus diaktifkan di setiap Wilayah. Untuk mengidentifikasi sumber daya yang dibagikan dengan prinsipal eksternal, penganalisis akses menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Saat Anda membuat penganalisis akses eksternal, Anda dapat membuat dan mengaktifkannya untuk seluruh organisasi atau akun individual Anda.

**catatan**  
Jika akun merupakan bagian dari organisasi AWS Organizations, kontrol ini tidak memfaktorkan penganalisis akses eksternal yang menentukan organisasi sebagai zona kepercayaan dan diaktifkan untuk organisasi di Wilayah saat ini. Jika organisasi Anda menggunakan jenis konfigurasi ini, pertimbangkan untuk menonaktifkan kontrol ini untuk akun anggota individual di organisasi Anda di Wilayah.

### Remediasi
<a name="iam-28-remediation"></a>

*Untuk informasi tentang mengaktifkan penganalisis akses eksternal di Wilayah tertentu, lihat [Memulai IAM Access Analyzer di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html).* Anda harus mengaktifkan penganalisis di setiap Wilayah tempat Anda ingin memantau akses ke sumber daya Anda.

# Kontrol CSPM Security Hub untuk Amazon Inspector
<a name="inspector-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Inspector.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
<a name="inspector-1"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah EC2 pemindaian Amazon Inspector diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon EC2 Inspector dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak EC2 mengaktifkan pemindaian.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur EC2 pemindaian untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon EC2 Inspector. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

 EC2 Pemindaian Amazon Inspector mengekstrak metadata dari instans Amazon Elastic Compute Cloud ( EC2Amazon) Anda, lalu membandingkan metadata ini dengan aturan yang dikumpulkan dari penasihat keamanan untuk menghasilkan temuan. Amazon Inspector memindai instans untuk kerentanan paket dan masalah jangkauan jaringan. Untuk informasi tentang sistem operasi yang didukung, termasuk sistem operasi mana yang dapat dipindai tanpa agen SSM, lihat [Sistem operasi yang didukung: Pemindaian Amazon EC2 ](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Remediasi
<a name="inspector-1-remediation"></a>

*Untuk mengaktifkan pemindaian Amazon Inspector, lihat [Mengaktifkan EC2 pemindaian di Panduan Pengguna](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Amazon Inspector.*

## [Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan
<a name="inspector-2"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/11.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian Amazon Inspector ECR diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon Inspector ECR dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian ECR.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian ECR untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon Inspector ECR. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Amazon Inspector memindai gambar kontainer yang disimpan di Amazon Elastic Container Registry (Amazon ECR) untuk mencari kerentanan perangkat lunak untuk menghasilkan temuan kerentanan paket. Saat mengaktifkan pemindaian Amazon Inspector untuk Amazon ECR, Anda menetapkan Amazon Inspector sebagai layanan pemindaian pilihan untuk registri pribadi Anda. Ini menggantikan pemindaian dasar, yang disediakan tanpa biaya oleh Amazon ECR, dengan pemindaian yang disempurnakan, yang disediakan dan ditagih melalui Amazon Inspector. Pemindaian yang disempurnakan memberi Anda manfaat pemindaian kerentanan untuk sistem operasi dan paket bahasa pemrograman di tingkat registri. Anda dapat meninjau temuan yang ditemukan menggunakan pemindaian yang disempurnakan pada tingkat gambar, untuk setiap lapisan gambar, di konsol Amazon ECR. Selain itu, Anda dapat meninjau dan bekerja dengan temuan ini di layanan lain yang tidak tersedia untuk temuan pemindaian dasar, termasuk AWS Security Hub CSPM dan Amazon EventBridge.

### Remediasi
<a name="inspector-2-remediation"></a>

*Untuk mengaktifkan pemindaian Amazon Inspector ECR, lihat [Mengaktifkan pemindaian di Panduan Pengguna Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc).*

## [Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
<a name="inspector-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian kode Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian kode Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian kode Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian kode Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian kode Amazon Inspector Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian kode Amazon Inspector Lambda memindai kode aplikasi khusus dalam AWS Lambda fungsi untuk kerentanan kode berdasarkan praktik terbaik keamanan. AWS Pemindaian kode Lambda dapat mendeteksi kekurangan injeksi, kebocoran data, kriptografi lemah, atau enkripsi yang hilang dalam kode Anda. Fitur ini [Wilayah AWS hanya tersedia secara spesifik](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](#inspector-4)

### Remediasi
<a name="inspector-3-remediation"></a>

*Untuk mengaktifkan pemindaian kode Amazon Inspector Lambda, lihat [Mengaktifkan pemindaian di](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Panduan Pengguna Amazon Inspector.*

## [Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
<a name="inspector-4"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemindaian standar Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian standar Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian standar Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian standar Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan `FAILED` temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian standar Amazon Inspector Lambda. Untuk menerima `PASSED` temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian standar Amazon Inspector Lambda mengidentifikasi kerentanan perangkat lunak dalam dependensi paket aplikasi yang Anda tambahkan ke kode fungsi dan lapisan Anda. AWS Lambda Jika Amazon Inspector mendeteksi kerentanan dalam dependensi paket aplikasi fungsi Lambda Anda, Amazon Inspector menghasilkan temuan tipe terperinci. `Package Vulnerability` Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](#inspector-3) 

### Remediasi
<a name="inspector-4-remediation"></a>

*Untuk mengaktifkan pemindaian standar Amazon Inspector Lambda, lihat [Mengaktifkan pemindaian di](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Panduan Pengguna Amazon Inspector.*

# Kontrol CSPM Security Hub untuk AWS IoT
<a name="iot-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS IoT layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IoT.1] profil AWS IoT Device Defender keamanan harus ditandai
<a name="iot-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::SecurityProfile`

**AWS Config aturan:** `tagged-iot-securityprofile` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah profil AWS IoT Device Defender keamanan memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika profil keamanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil keamanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-1-remediation"></a>

Untuk menambahkan tag ke profil AWS IoT Device Defender keamanan, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

## [IoT.2] tindakan AWS IoT Core mitigasi harus ditandai
<a name="iot-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::MitigationAction`

**AWS Config aturan:** `tagged-iot-mitigationaction` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah tindakan AWS IoT Core mitigasi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika tindakan mitigasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredTagKeys` Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tindakan mitigasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-2-remediation"></a>

*Untuk menambahkan tag ke tindakan AWS IoT Core mitigasi, lihat [Menandai AWS IoT sumber daya Anda di Panduan Pengembang](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html).AWS IoT *

## [IoT.3] AWS IoT Core dimensi harus ditandai
<a name="iot-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Dimension`

**AWS Config aturan:** `tagged-iot-dimension` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core dimensi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika dimensi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dimensi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-3-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core dimensi, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

## [IoT.4] AWS IoT Core otorisasi harus diberi tag
<a name="iot-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Authorizer`

**AWS Config aturan:** `tagged-iot-authorizer` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core otorisasi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika otorisasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika otorisasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-4-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core otorisasi, lihat [Menandai AWS IoT sumber daya Anda di Panduan AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) *Pengembang*.

## [IoT.5] alias AWS IoT Core peran harus ditandai
<a name="iot-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::RoleAlias`

**AWS Config aturan:** `tagged-iot-rolealias` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah alias AWS IoT Core peran memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika alias peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alias peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-5-remediation"></a>

Untuk menambahkan tag ke alias AWS IoT Core peran, lihat [Menandai AWS IoT sumber daya Anda di Panduan AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) *Pengembang*.

## AWS IoT Core Kebijakan [IoT.6] harus ditandai
<a name="iot-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoT::Policy`

**AWS Config aturan:** `tagged-iot-policy` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS IoT Core kebijakan memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika kebijakan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="iot-6-remediation"></a>

Untuk menambahkan tag ke AWS IoT Core kebijakan, lihat [Menandai AWS IoT sumber daya Anda](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) di *Panduan AWS IoT Pengembang*.

# Kontrol CSPM Security Hub untuk AWS Acara IoT
<a name="iotevents-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan AWS sumber daya IoT Events.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag
<a name="iotevents-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::Input`

**AWS Config aturan:** `iotevents-input-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah input AWS IoT Events memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika input tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika input tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-1-remediation"></a>

Untuk menambahkan tag ke input Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang.*

## [Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag
<a name="iotevents-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::DetectorModel`

**AWS Config aturan:** `iotevents-detector-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model detektor Peristiwa AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model detektor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model detektor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-2-remediation"></a>

Untuk menambahkan tag ke model detektor Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang*.

## [Io TEvents .3] Model alarm AWS IoT Events harus diberi tag
<a name="iotevents-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTEvents::AlarmModel`

**AWS Config aturan:** `iotevents-alarm-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model alarm AWS IoT Events memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model alarm tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model alarm tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotevents-3-remediation"></a>

Untuk menambahkan tag ke model alarm Peristiwa AWS IoT, [lihat Menandai sumber daya AWS IoT Events Anda](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) di Panduan *AWS IoT Events Pengembang*.

# Kontrol CSPM Security Hub untuk IoT AWS SiteWise
<a name="iotsitewise-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi SiteWise layanan dan AWS sumber daya IoT.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise
<a name="iotsitewise-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::AssetModel`

**AWS Config aturan:** `iotsitewise-asset-model-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah model SiteWise aset AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika model aset tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika model aset tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-1-remediation"></a>

Untuk menambahkan tag ke model SiteWise aset AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Dashboard`

**AWS Config aturan:** `iotsitewise-dashboard-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise dasbor AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika dasbor tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dasbor tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-2-remediation"></a>

Untuk menambahkan tag ke SiteWise dasbor AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Gateway`

**AWS Config aturan:** `iotsitewise-gateway-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise gateway AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika gateway tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-3-remediation"></a>

Untuk menambahkan tag ke SiteWise gateway AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Portal`

**AWS Config aturan:** `iotsitewise-portal-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise portal AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika portal tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika portal tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-4-remediation"></a>

Untuk menambahkan tag ke SiteWise portal AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

## [Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise
<a name="iotsitewise-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTSiteWise::Project`

**AWS Config aturan:** `iotsitewise-project-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah SiteWise proyek AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika proyek tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika proyek tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotsitewise-5-remediation"></a>

Untuk menambahkan tag ke SiteWise proyek AWS IoT, lihat [Menandai AWS IoT SiteWise sumber daya Anda](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) di *AWS IoT SiteWise Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk IoT AWS TwinMaker
<a name="iottwinmaker-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi TwinMaker layanan dan AWS sumber daya IoT.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker
<a name="iottwinmaker-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::SyncJob`

**AWS Config aturan:** `iottwinmaker-sync-job-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pekerjaan TwinMaker sinkronisasi AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika pekerjaan sinkronisasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan sinkronisasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-1-remediation"></a>

Untuk menambahkan tag ke pekerjaan TwinMaker sinkronisasi AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

## [Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Workspace`

**AWS Config aturan:** `iottwinmaker-workspace-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker ruang kerja AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika ruang kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ruang kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-2-remediation"></a>

*Untuk menambahkan tag ke TwinMaker ruang kerja AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di Panduan Pengguna.AWS IoT TwinMaker *

## [Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Scene`

**AWS Config aturan:** `iottwinmaker-scene-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker adegan AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika adegan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika adegan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-3-remediation"></a>

Untuk menambahkan tag ke TwinMaker adegan AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

## [Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker
<a name="iottwinmaker-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTTwinMaker::Entity`

**AWS Config aturan:** `iottwinmaker-entity-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah TwinMaker entitas AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika entitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika entitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iottwinmaker-4-remediation"></a>

Untuk menambahkan tag ke TwinMaker entitas AWS IoT, lihat [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)di *AWS IoT TwinMaker Panduan Pengguna*.

# Kontrol CSPM Security Hub untuk AWS IoT Wireless
<a name="iotwireless-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan AWS sumber daya IoT Wireless.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag
<a name="iotwireless-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::MulticastGroup`

**AWS Config aturan:** `iotwireless-multicast-group-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup multicast Nirkabel AWS IoT memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika grup multicast tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter. `requiredKeyTags` Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup multicast tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-1-remediation"></a>

*Untuk menambahkan tag ke grup multicast Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di Panduan Pengembang.AWS IoT Wireless *

## [Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag
<a name="iotwireless-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::ServiceProfile`

**AWS Config aturan:** `iotwireless-service-profile-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah profil layanan AWS IoT Wireless memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika profil layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-2-remediation"></a>

Untuk menambahkan tag ke profil layanan Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di Panduan *AWS IoT Wireless Pengembang*.

## [Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai
<a name="iotwireless-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IoTWireless::FuotaTask`

**AWS Config aturan:** `iotwireless-fuota-task-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah tugas over-the-air pembaruan firmware Nirkabel AWS IoT (FUOTA) memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika tugas FUOTA tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tugas FUOTA tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="iotwireless-3-remediation"></a>

*Untuk menambahkan tag ke tugas FUOTA Nirkabel AWS IoT, [lihat Menandai sumber daya AWS IoT Wireless Anda](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) di AWS IoT Wireless Panduan Pengembang.*

# Kontrol CSPM Security Hub untuk Amazon IVS
<a name="ivs-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Interactive Video Service (IVS).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [IVS.1] Pasangan kunci pemutaran IVS harus ditandai
<a name="ivs-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::PlaybackKeyPair`

**AWS Config aturan:** `ivs-playback-key-pair-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah key pair Amazon IVS playback memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika playback key pair tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika key pair playback tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-1-remediation"></a>

Untuk menambahkan tag ke key pair pemutaran IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

## [IVS.2] Konfigurasi perekaman IVS harus ditandai
<a name="ivs-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::RecordingConfiguration`

**AWS Config aturan:** `ivs-recording configuration-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah konfigurasi perekaman Amazon IVS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika konfigurasi perekaman tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi perekaman tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-2-remediation"></a>

Untuk menambahkan tag ke konfigurasi perekaman IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

## [IVS.3] Saluran IVS harus ditandai
<a name="ivs-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::IVS::Channel`

**AWS Config aturan:** `ivs-channel-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah saluran Amazon IVS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika saluran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika saluran tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="ivs-3-remediation"></a>

Untuk menambahkan tag ke saluran IVS, lihat [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)di Referensi *API Streaming Waktu Nyata Amazon IVS*.

# Kontrol CSPM Security Hub untuk Amazon Keyspaces
<a name="keyspaces-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Keyspaces.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag
<a name="keyspaces-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Cassandra::Keyspace`

**AWS Config aturan:** `cassandra-keyspace-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah ruang kunci Amazon Keyspaces memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredKeyTags` Kontrol gagal jika ruang kunci tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika ruang kunci tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="keyspaces-1-remediation"></a>

Untuk menambahkan tag ke ruang kunci Amazon Keyspaces, lihat [Menambahkan tag ke ruang kunci di Panduan](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Pengembang Amazon *Keyspaces*.

# Kontrol CSPM Security Hub untuk Kinesis
<a name="kinesis-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Kinesis.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat
<a name="kinesis-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah Kinesis Data Streams dienkripsi saat istirahat dengan enkripsi sisi server. Kontrol ini gagal jika aliran Kinesis tidak dienkripsi saat istirahat dengan enkripsi sisi server.

Enkripsi sisi server adalah fitur di Amazon Kinesis Data Streams yang secara otomatis mengenkripsi data sebelum diam dengan menggunakan file. AWS KMS key Data dienkripsi sebelum ditulis ke lapisan penyimpanan aliran Kinesis, dan didekripsi setelah diambil dari penyimpanan. Akibatnya, data Anda dienkripsi saat istirahat dalam layanan Amazon Kinesis Data Streams.

### Remediasi
<a name="kinesis-1-remediation"></a>

Untuk informasi tentang mengaktifkan enkripsi sisi server untuk aliran Kinesis, lihat [Bagaimana cara](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) memulai enkripsi sisi server? di Panduan *Pengembang Amazon Kinesis*.

## [Kinesis.2] Aliran kinesis harus ditandai
<a name="kinesis-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan:** `tagged-kinesis-stream` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika aliran data tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aliran data tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="kinesis-2-remediation"></a>

*Untuk menambahkan tag ke aliran data Kinesis, lihat [Menandai aliran Anda di Amazon Kinesis Data Streams di Panduan Pengembang Amazon Kinesis](https://docs.aws.amazon.com/streams/latest/dev/tagging.html).*

## [Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai
<a name="kinesis-3"></a>

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Kinesis::Stream`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | Jumlah jam minimum data harus disimpan.  | String  | 24 hingga 8760  | 168  | 

Kontrol ini memeriksa apakah aliran data Amazon Kinesis memiliki periode retensi data yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika periode retensi data kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode penyimpanan data, Security Hub CSPM menggunakan nilai default 168 jam.

Dalam Kinesis Data Streams, aliran data adalah urutan urutan catatan data yang dimaksudkan untuk ditulis dan dibaca secara real time. Catatan data disimpan dalam pecahan di aliran Anda sementara. Periode waktu dari saat catatan ditambahkan ke saat tidak lagi dapat diakses disebut periode retensi. Kinesis Data Streams segera membuat catatan yang lebih tua dari periode retensi baru tidak dapat diakses setelah mengurangi periode retensi. Misalnya, mengubah periode retensi dari 24 jam menjadi 48 jam berarti rekaman yang ditambahkan ke aliran 23 jam 55 menit sebelumnya masih tersedia setelah 24 jam. 

### Remediasi
<a name="kinesis-3-remediation"></a>

Untuk mengubah periode retensi cadangan untuk Kinesis Data Streams[, lihat Mengubah periode retensi data di Panduan Pengembang](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *Amazon Kinesis Data Streams*.

# Kontrol CSPM Security Hub untuk AWS KMS
<a name="kms-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Key Management Service (AWS KMS) layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS
<a name="kms-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::IAM::Policy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(tidak dapat disesuaikan)
+ `excludePermissionBoundaryPolicy`: `True` (tidak dapat disesuaikan)

Memeriksa apakah versi default dari kebijakan terkelola pelanggan IAM mengizinkan prinsipal untuk menggunakan tindakan AWS KMS dekripsi pada semua sumber daya. Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan `kms:Decrypt` atau `kms:ReEncryptFrom` tindakan pada semua kunci KMS.

Kontrol hanya memeriksa kunci KMS dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan. Selain itu, kontrol mengevaluasi kebijakan terkelola pelanggan yang terlampir dan tidak terikat. Itu tidak memeriksa kebijakan sebaris atau kebijakan AWS terkelola.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan identitas (pengguna, grup, atau peran) yang dapat dilakukan pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya `kms:ReEncryptFrom` izin `kms:Decrypt` atau dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan `kms:Decrypt` izin pada semua kunci KMS. Sebagai gantinya, izinkan `kms:Decrypt` hanya pada kunci di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

### Remediasi
<a name="kms-1-remediation"></a>

Untuk mengubah kebijakan terkelola pelanggan IAM, lihat [Mengedit kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) di *Panduan Pengguna IAM*. Saat mengedit kebijakan Anda, untuk `Resource` bidang tersebut, berikan Nama Sumber Daya Amazon (ARN) kunci atau kunci tertentu yang ingin Anda izinkan untuk mengaktifkan tindakan dekripsi.

## [KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS
<a name="kms-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan inline yang disematkan dalam identitas IAM Anda (peran, pengguna, atau grup) memungkinkan tindakan AWS KMS dekripsi dan enkripsi ulang pada semua kunci KMS. Kontrol gagal jika kebijakan cukup terbuka untuk mengizinkan `kms:Decrypt` atau `kms:ReEncryptFrom` tindakan pada semua kunci KMS.

Kontrol hanya memeriksa kunci KMS dalam elemen Resource dan tidak memperhitungkan persyaratan apa pun dalam elemen Kondisi kebijakan.

Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan identitas (pengguna, grup, atau peran) yang dapat dilakukan pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS merekomendasikan agar Anda mengizinkan hak istimewa paling sedikit. Dengan kata lain, Anda harus memberikan identitas hanya izin yang mereka butuhkan dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda.

Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian desain kebijakan yang memungkinkan pengguna untuk hanya menggunakan kunci tersebut. Misalnya, jangan izinkan `kms:Decrypt` izin pada semua kunci KMS. Sebagai gantinya, izinkan izin hanya pada kunci tertentu di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.

### Remediasi
<a name="kms-2-remediation"></a>

Untuk mengubah kebijakan sebaris IAM, lihat [Mengedit kebijakan sebaris di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) *IAM*. Saat mengedit kebijakan Anda, untuk `Resource` bidang tersebut, berikan Nama Sumber Daya Amazon (ARN) kunci atau kunci tertentu yang ingin Anda izinkan untuk mengaktifkan tindakan dekripsi.

## [KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja
<a name="kms-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan:** `kms-cmk-not-scheduled-for-deletion-2` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol gagal jika kunci KMS dijadwalkan untuk dihapus.

Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi di bawah kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. *Jika data bermakna telah dienkripsi di bawah kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data di bawah kunci KMS baru kecuali Anda sengaja melakukan penghapusan kriptografi.*

Ketika kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib diberlakukan untuk memberikan waktu untuk membalikkan penghapusan, jika dijadwalkan dalam kesalahan. Masa tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi sesingkat 7 hari ketika kunci KMS dijadwalkan untuk dihapus. Selama masa tunggu, penghapusan yang dijadwalkan dapat dibatalkan dan kunci KMS tidak akan dihapus.

*Untuk informasi tambahan mengenai menghapus kunci KMS, lihat [Menghapus kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) di Panduan Pengembang.AWS Key Management Service *

### Remediasi
<a name="kms-3-remediation"></a>

*Untuk membatalkan penghapusan kunci KMS terjadwal, lihat **Untuk membatalkan penghapusan kunci di bawah Penjadwalan dan pembatalan penghapusan** [kunci](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) (konsol) di Panduan Pengembang.AWS Key Management Service *

## [KMS.4] rotasi AWS KMS tombol harus diaktifkan
<a name="kms-4"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.6, Tolok Ukur Yayasan CIS v3.0.0/3.6, Tolok Ukur AWS Yayasan CIS v1.4.0/3.8, Tolok Ukur AWS Yayasan CIS v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS v3.2.1/3.6.4, PCI DSS AWS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

AWS KMS memungkinkan pelanggan untuk memutar kunci dukungan, yang merupakan bahan kunci yang disimpan AWS KMS dan diikat ke ID kunci kunci KMS. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat berlangsung secara transparan.

CIS merekomendasikan agar Anda mengaktifkan rotasi kunci KMS. Memutar kunci enkripsi membantu mengurangi dampak potensial dari kunci yang dikompromikan karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.

### Remediasi
<a name="kms-4-remediation"></a>

Untuk mengaktifkan rotasi tombol KMS, lihat [Cara mengaktifkan dan menonaktifkan rotasi tombol otomatis](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) di *Panduan AWS Key Management Service Pengembang*.

## [KMS.5] Kunci KMS tidak boleh diakses publik
<a name="kms-5"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::KMS::Key`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa AWS KMS key apakah an dapat diakses publik. Kontrol gagal jika kunci KMS dapat diakses publik.

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan kunci untuk AWS KMS key mengizinkan akses dari akun eksternal, pihak ketiga mungkin dapat mengenkripsi dan mendekripsi data dengan menggunakan kunci. Hal ini dapat mengakibatkan ancaman internal atau eksternal yang mengeksfiltrasi data dari Layanan AWS yang menggunakan kunci.

**catatan**  
Kontrol ini juga mengembalikan `FAILED` temuan AWS KMS key jika konfigurasi Anda AWS Config mencegah merekam kebijakan kunci di Item Konfigurasi (CI) untuk kunci KMS. AWS Config Untuk mengisi kebijakan kunci di CI untuk kunci KMS, [AWS Config peran](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) harus memiliki akses untuk membaca kebijakan kunci menggunakan panggilan [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Untuk mengatasi jenis `FAILED` temuan ini, periksa kebijakan yang dapat mencegah AWS Config peran memiliki akses baca ke kebijakan kunci untuk kunci KMS. Misalnya, periksa yang berikut ini:  
Kebijakan kunci untuk kunci KMS.
[Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dan [kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations yang berlaku untuk akun Anda.
Izin untuk AWS Config peran tersebut, jika Anda tidak menggunakan peran [AWS Config terkait layanan](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Selain itu, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan kunci hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="kms-5-remediation"></a>

Untuk informasi tentang memperbarui kebijakan kunci AWS KMS key, lihat [Kebijakan kunci AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Panduan AWS Key Management Service Pengembang*.

# Kontrol CSPM Security Hub untuk AWS Lambda
<a name="lambda-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Lambda layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
<a name="lambda-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan berbasis sumber daya fungsi Lambda melarang akses publik di luar akun Anda. Kontrol gagal jika akses publik diizinkan. Kontrol juga gagal jika fungsi Lambda dipanggil dari Amazon S3, dan kebijakan tidak menyertakan kondisi untuk membatasi akses publik, seperti. `AWS:SourceAccount` Sebaiknya gunakan kondisi S3 lainnya beserta `AWS:SourceAccount` kebijakan bucket Anda untuk akses yang lebih disempurnakan.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan untuk fungsi Lambda hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Fungsi Lambda tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke kode fungsi Anda.

### Remediasi
<a name="lambda-1-remediation"></a>

Untuk mengatasi masalah ini, Anda harus memperbarui kebijakan berbasis sumber daya fungsi Anda untuk menghapus izin atau menambahkan kondisi. `AWS:SourceAccount` Anda hanya dapat memperbarui kebijakan berbasis sumber daya dari Lambda API atau. AWS CLI

Untuk memulai, [tinjau kebijakan berbasis sumber daya di](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) konsol Lambda. Identifikasi pernyataan kebijakan yang memiliki nilai `Principal` bidang yang membuat kebijakan publik, seperti `"*"` atau`{ "AWS": "*" }`.

Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, jalankan [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)perintah dari file. AWS CLI

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

Ganti `<function-name>` dengan nama fungsi Lambda, dan `<statement-id>` dengan pernyataan ID (`Sid`) dari pernyataan yang ingin Anda hapus.

## [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
<a name="lambda-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** 
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah setelan runtime AWS Lambda fungsi cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Kontrol gagal jika fungsi Lambda tidak menggunakan runtime yang didukung, seperti yang tercantum di bagian Parameter. Security Hub CSPM mengabaikan fungsi yang memiliki tipe paket. `Image`

Lambda runtime dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pemeliharaan dan pembaruan keamanan. Jika komponen runtime tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan runtime. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi tersebut masih tersedia untuk memproses peristiwa pemanggilan. Sebaiknya pastikan bahwa fungsi Lambda Anda terkini dan tidak menggunakan lingkungan runtime yang tidak digunakan lagi. *Untuk daftar runtime yang didukung, lihat runtime [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) di AWS Lambda Panduan Pengembang.*

### Remediasi
<a name="lambda-2-remediation"></a>

*Untuk informasi selengkapnya tentang runtime yang didukung dan jadwal penghentian, lihat kebijakan penghentian [waktu proses di Panduan Pengembang](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html).AWS Lambda * Saat Anda memigrasikan runtime ke versi terbaru, ikuti sintaks dan panduan dari penerbit bahasa tersebut. Kami juga merekomendasikan untuk menerapkan [pembaruan runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) untuk membantu mengurangi risiko dampak pada beban kerja Anda jika terjadi ketidakcocokan versi runtime yang jarang terjadi.

## [Lambda.3] Fungsi Lambda harus dalam VPC
<a name="lambda-3"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah fungsi Lambda digunakan di cloud pribadi virtual (VPC). Kontrol gagal jika fungsi Lambda tidak diterapkan di VPC. Security Hub CSPM tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan jangkauan publik. Anda mungkin melihat temuan yang gagal untuk sumber daya Lambda @Edge.

Menyebarkan sumber daya dalam VPC memperkuat keamanan dan kontrol atas konfigurasi jaringan. Penerapan tersebut juga menawarkan skalabilitas dan toleransi kesalahan yang tinggi di beberapa Availability Zone. Anda dapat menyesuaikan penerapan VPC untuk memenuhi beragam persyaratan aplikasi.

### Remediasi
<a name="lambda-3-remediation"></a>

*Untuk mengonfigurasi fungsi yang ada untuk terhubung ke subnet pribadi di VPC Anda, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan Pengembang.AWS Lambda * Sebaiknya pilih setidaknya dua subnet pribadi untuk ketersediaan tinggi dan setidaknya satu grup keamanan yang memenuhi persyaratan konektivitas fungsi.

## [Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
<a name="lambda-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  Jumlah minimum Availability Zone  |  Enum  |  `2, 3, 4, 5, 6`  |  `2`  | 

Kontrol ini memeriksa apakah AWS Lambda fungsi yang terhubung ke virtual private cloud (VPC) beroperasi setidaknya dalam jumlah Availability Zone (AZs) yang ditentukan. Kontrol gagal jika fungsi tidak beroperasi setidaknya dalam jumlah yang ditentukan AZs. Kecuali Anda memberikan nilai parameter kustom untuk jumlah minimum AZs, Security Hub CSPM menggunakan nilai default dua. AZs

Menyebarkan sumber daya di beberapa AZs adalah praktik AWS terbaik untuk memastikan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan adalah pilar inti dalam kerahasiaan, integritas, dan model keamanan triad ketersediaan. Semua fungsi Lambda yang terhubung ke VPC harus memiliki penerapan Multi-AZ untuk memastikan bahwa satu zona kegagalan tidak menyebabkan gangguan total operasi.

### Remediasi
<a name="lambda-5-remediation"></a>

Jika Anda mengonfigurasi fungsi Anda untuk terhubung ke VPC di akun Anda, tentukan subnet dalam beberapa AZs untuk memastikan ketersediaan tinggi. Untuk petunjuk, lihat [Mengonfigurasi akses VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) di Panduan *AWS Lambda Pengembang.*

Lambda secara otomatis menjalankan fungsi lain dalam beberapa AZs untuk memastikan bahwa itu tersedia untuk memproses peristiwa jika terjadi gangguan layanan dalam satu zona.

## [Lambda.6] Fungsi Lambda harus ditandai
<a name="lambda-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan:** `tagged-lambda-function` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah suatu AWS Lambda fungsi memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika fungsi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika fungsi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="lambda-6-remediation"></a>

*Untuk menambahkan tag ke fungsi Lambda, lihat [Menggunakan tag pada fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) di Panduan Pengembang.AWS Lambda *

## [Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray
<a name="lambda-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Lambda::Function`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penelusuran aktif dengan AWS X-Ray diaktifkan untuk suatu AWS Lambda fungsi. Kontrol gagal jika penelusuran aktif dengan X-Ray dinonaktifkan untuk fungsi Lambda.

AWS X-Ray dapat memberikan kemampuan penelusuran dan pemantauan untuk AWS Lambda fungsi, yang dapat menghemat waktu dan tenaga debugging dan pengoperasian fungsi Lambda. Ini dapat membantu Anda mendiagnosis kesalahan dan mengidentifikasi kemacetan kinerja, perlambatan, dan batas waktu dengan memecah latensi untuk fungsi Lambda. Ini juga dapat membantu dengan privasi data dan persyaratan kepatuhan. Jika Anda mengaktifkan penelusuran aktif untuk fungsi Lambda, X-Ray memberikan tampilan holistik aliran dan pemrosesan data dalam fungsi Lambda, yang dapat membantu Anda mengidentifikasi potensi kerentanan keamanan atau praktik penanganan data yang tidak sesuai. Visibilitas ini dapat membantu Anda menjaga integritas data, kerahasiaan, dan kepatuhan terhadap peraturan yang relevan.

**catatan**  
AWS X-Ray penelusuran saat ini tidak didukung untuk fungsi Lambda dengan Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka yang dikelola sendiri, Amazon MQ dengan ActiveMQ dan RabbitMQ, atau pemetaan sumber acara Amazon DocumentDB.

### Remediasi
<a name="lambda-7-remediation"></a>

*Untuk informasi tentang mengaktifkan penelusuran aktif untuk suatu AWS Lambda fungsi, lihat [Memvisualisasikan pemanggilan AWS X-Ray fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) menggunakan dalam Panduan Pengembang.AWS Lambda *

# Kontrol CSPM Security Hub untuk Macie
<a name="macie-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan Amazon Macie.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Macie.1] Amazon Macie harus diaktifkan
<a name="macie-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)**

**Jenis jadwal:** Periodik

Kontrol ini memeriksa apakah Amazon Macie diaktifkan untuk sebuah akun. Kontrol gagal jika Macie tidak diaktifkan untuk akun.

Amazon Macie menemukan data sensitif menggunakan pembelajaran mesin dan pencocokan pola, memberikan visibilitas ke risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Macie secara otomatis dan terus-menerus mengevaluasi bucket Amazon Simple Storage Service (Amazon S3) Anda untuk keamanan dan kontrol akses, serta menghasilkan temuan untuk memberi tahu Anda tentang potensi masalah terkait keamanan atau privasi data Amazon S3 Anda. Macie juga mengotomatiskan penemuan dan pelaporan data sensitif, seperti informasi identitas pribadi (PII), untuk memberi Anda pemahaman yang lebih baik tentang data yang Anda simpan di Amazon S3. Untuk mempelajari lebih lanjut, lihat [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).

### Remediasi
<a name="macie-1-remediation"></a>

Untuk mengaktifkan Macie, lihat [Mengaktifkan Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) di Panduan Pengguna *Amazon Macie*.

## [Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
<a name="macie-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1),, NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)**

**Jenis jadwal:** Periodik

Kontrol ini memeriksa apakah penemuan data sensitif otomatis diaktifkan untuk akun administrator Amazon Macie. Kontrol gagal jika penemuan data sensitif otomatis tidak diaktifkan untuk akun administrator Macie. Kontrol ini hanya berlaku untuk akun administrator.

Macie mengotomatiskan penemuan dan pelaporan data sensitif, seperti informasi identitas pribadi (PII), di bucket Amazon Simple Storage Service (Amazon S3). Dengan penemuan data sensitif otomatis, Macie terus mengevaluasi inventaris bucket Anda dan menggunakan teknik pengambilan sampel untuk mengidentifikasi dan memilih objek S3 yang representatif dari bucket Anda. Macie kemudian menganalisis objek yang dipilih, memeriksanya untuk data sensitif. Seiring kemajuan analisis, Macie memperbarui statistik, data inventaris, dan informasi lain yang diberikannya tentang data S3 Anda. Macie juga menghasilkan temuan untuk melaporkan data sensitif yang ditemukannya.

### Remediasi
<a name="macie-2-remediation"></a>

Untuk membuat dan mengonfigurasi tugas penemuan data sensitif otomatis untuk menganalisis objek di bucket S3, lihat [Mengonfigurasi penemuan data sensitif otomatis untuk akun Anda](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) di Panduan Pengguna *Amazon* Macie.

# Kontrol CSPM Security Hub untuk Amazon MSK
<a name="msk-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Managed Streaming for Apache Kafka (Amazon MSK). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker
<a name="msk-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster MSK Amazon dienkripsi dalam perjalanan dengan HTTPS (TLS) di antara node broker cluster. Kontrol gagal jika komunikasi teks biasa diaktifkan untuk koneksi node broker cluster.

HTTPS menawarkan lapisan keamanan ekstra karena menggunakan TLS untuk memindahkan data dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Secara default, Amazon MSK mengenkripsi data dalam perjalanan dengan TLS. Namun, Anda dapat mengganti default ini pada saat Anda membuat cluster. Sebaiknya gunakan koneksi terenkripsi melalui HTTPS (TLS) untuk koneksi node broker.

### Remediasi
<a name="msk-1-remediation"></a>

Untuk informasi tentang memperbarui setelan enkripsi untuk klaster MSK Amazon, lihat [Memperbarui setelan keamanan klaster di Panduan](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) Pengembang *Amazon Managed Streaming for Apache* Kafka.

## [MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi
<a name="msk-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster MSK Amazon telah meningkatkan pemantauan yang dikonfigurasi, yang ditentukan oleh tingkat pemantauan setidaknya`PER_TOPIC_PER_BROKER`. Kontrol gagal jika tingkat pemantauan untuk cluster diatur ke `DEFAULT` atau`PER_BROKER`.

Tingkat `PER_TOPIC_PER_BROKER` pemantauan memberikan wawasan yang lebih terperinci tentang kinerja klaster MSK Anda, dan juga menyediakan metrik yang terkait dengan pemanfaatan sumber daya, seperti penggunaan CPU dan memori. Ini membantu Anda mengidentifikasi kemacetan kinerja dan pola pemanfaatan sumber daya untuk masing-masing topik dan broker. Visibilitas ini, pada gilirannya, dapat mengoptimalkan kinerja broker Kafka Anda.

### Remediasi
<a name="msk-2-remediation"></a>

Untuk mengonfigurasi pemantauan yang disempurnakan untuk klaster MSK, selesaikan langkah-langkah berikut:

1. Buka konsol MSK Amazon di [https://console.aws.amazon.com/msk/rumah? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).

1. Pada panel navigasi, silakan pilih **Klaster**. Kemudian, pilih cluster.

1. Untuk **Tindakan**, pilih **Edit pemantauan**.

1. Pilih opsi untuk pemantauan tingkat **topik yang ditingkatkan**.

1. Pilih **Simpan perubahan**.

Untuk informasi selengkapnya tentang tingkat pemantauan, lihat [metrik MSK Amazon untuk memantau pialang Standar CloudWatch di Panduan Pengembang](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) *Amazon Managed Streaming for Apache* Kafka.

## [MSK.3] Konektor MSK Connect harus dienkripsi saat transit
<a name="msk-3"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KafkaConnect::Connector`

**AWS Config aturan:** `msk-connect-connector-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah konektor Amazon MSK Connect dienkripsi saat transit. Kontrol ini gagal jika konektor tidak dienkripsi saat transit.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="msk-3-remediation"></a>

Anda dapat mengaktifkan enkripsi saat transit saat Anda membuat konektor MSK Connect. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat konektor. Untuk informasi selengkapnya, lihat [Membuat konektor](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) di Panduan Pengembang *Amazon Managed Streaming for Apache Kafka Kafka*.

## [MSK.4] Kluster MSK harus menonaktifkan akses publik
<a name="msk-4"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses publik diaktifkan untuk kluster MSK.

Secara default, klien dapat mengakses kluster MSK Amazon hanya jika mereka berada di VPC yang sama dengan cluster. Semua komunikasi antara klien Kafka dan kluster MSK bersifat pribadi secara default dan data streaming tidak melintasi internet. Namun, jika cluster MSK dikonfigurasi untuk memungkinkan akses publik, siapa pun di internet dapat membuat koneksi ke broker Apache Kafka yang berjalan di dalam cluster. Hal ini dapat menyebabkan masalah seperti akses tidak sah, pelanggaran data, atau eksploitasi kerentanan. Jika Anda membatasi akses ke klaster dengan mengharuskan tindakan otentikasi dan otorisasi, Anda dapat membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

### Remediasi
<a name="msk-4-remediation"></a>

Untuk informasi tentang mengelola akses publik ke klaster MSK Amazon, lihat [Mengaktifkan akses publik ke klaster yang disediakan MSK di](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) Panduan Pengembang *Amazon Managed Streaming for Apache Kafka*.

## [MSK.5] Konektor MSK seharusnya mengaktifkan logging
<a name="msk-5"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::KafkaConnect::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk konektor MSK Amazon. Kontrol gagal jika logging dinonaktifkan untuk konektor MSK.

Konektor MSK Amazon mengintegrasikan sistem eksternal dan layanan Amazon dengan Apache Kafka dengan terus menyalin data streaming dari sumber data ke cluster Apache Kafka, atau terus menyalin data dari cluster ke dalam data sink. MSK Connect dapat menulis peristiwa log yang dapat membantu men-debug konektor. Saat membuat konektor, Anda dapat menentukan nol atau lebih dari tujuan log berikut: Amazon CloudWatch Log, Amazon S3, dan Amazon Data Firehose.

**catatan**  
Nilai konfigurasi sensitif dapat muncul di log konektor jika plugin tidak mendefinisikan nilai-nilai tersebut sebagai rahasia. Kafka Connect memperlakukan nilai konfigurasi yang tidak ditentukan sama dengan nilai plaintext lainnya.

### Remediasi
<a name="msk-5-remediation"></a>

Untuk mengaktifkan logging untuk konektor MSK Amazon yang ada, Anda harus membuat ulang konektor dengan konfigurasi logging yang sesuai. Untuk informasi tentang opsi konfigurasi, lihat [Logging untuk MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) di Panduan Pengembang *Amazon Managed Streaming for Apache* Kafka Kafka.

## [MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
<a name="msk-6"></a>

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::MSK::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses yang tidak diautentikasi diaktifkan untuk klaster MSK Amazon. Kontrol gagal jika akses yang tidak diautentikasi diaktifkan untuk kluster MSK.

Amazon MSK mendukung otentikasi klien dan mekanisme otorisasi untuk mengontrol akses ke cluster. Mekanisme ini memverifikasi identitas klien yang terhubung ke cluster dan menentukan tindakan mana yang dapat dilakukan klien. Kluster MSK dapat dikonfigurasi untuk memungkinkan akses yang tidak diautentikasi, yang memungkinkan klien dengan konektivitas jaringan untuk mempublikasikan dan berlangganan topik Kafka tanpa memberikan kredensyal. Menjalankan klaster MSK tanpa memerlukan otentikasi melanggar prinsip hak istimewa paling sedikit dan dapat mengekspos cluster ke akses yang tidak sah. Ini dapat memungkinkan klien untuk mengakses, memodifikasi, atau menghapus data dalam topik Kafka, berpotensi mengakibatkan pelanggaran data, modifikasi data yang tidak sah, atau gangguan layanan. Sebaiknya aktifkan mekanisme otentikasi seperti autentikasi IAM, SASL/SCRAM, atau TLS timbal balik untuk memastikan kontrol akses yang tepat dan menjaga kepatuhan keamanan.

### Remediasi
<a name="msk-6-remediation"></a>

Untuk informasi tentang mengubah setelan autentikasi untuk kluster MSK Amazon, lihat bagian berikut dari [Panduan Pengembang *Amazon Managed Streaming for Apache Kafka*: Perbarui pengaturan keamanan [klaster MSK Amazon serta Otentikasi dan](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) otorisasi](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) untuk Apache Kafka. APIs

# Kontrol CSPM Security Hub untuk Amazon MQ
<a name="mq-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon MQ. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch
<a name="mq-2"></a>

**Persyaratan terkait:** Nist.800-53.r5 AU-2, Nist.800-53.R5 AU-3, Nist.800-53.R5 AU-12, Nist.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah broker Amazon MQ ActiveMQ mengalirkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika broker tidak mengalirkan log audit ke CloudWatch Log.

Dengan menerbitkan log broker ActiveMQ CloudWatch ke Log, Anda dapat CloudWatch membuat alarm dan metrik yang meningkatkan visibilitas informasi terkait keamanan.

### Remediasi
<a name="mq-2-remediation"></a>

*Untuk melakukan streaming log broker ActiveMQ CloudWatch ke Log, lihat [Mengonfigurasi Amazon MQ untuk log ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*

## [MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
<a name="mq-3"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada Januari 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah broker Amazon MQ mengaktifkan peningkatan versi minor otomatis. Kontrol gagal jika broker tidak mengaktifkan peningkatan versi minor otomatis.

Saat Amazon MQ merilis dan mendukung versi mesin broker baru, perubahan tersebut kompatibel dengan aplikasi yang ada dan tidak menghentikan fungsionalitas yang ada. Pembaruan versi mesin broker otomatis melindungi Anda dari risiko keamanan, membantu memperbaiki bug, dan meningkatkan fungsionalitas.

**catatan**  
Ketika broker yang terkait dengan peningkatan versi minor otomatis berada di tambalan terbaru dan menjadi tidak didukung, Anda harus mengambil tindakan manual untuk meningkatkan.

### Remediasi
<a name="mq-3-remediation"></a>

Untuk mengaktifkan pemutakhiran versi minor otomatis untuk broker MQ, lihat [Memutakhirkan versi mesin minor secara otomatis](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) di Panduan Pengembang *Amazon* MQ.

## [MQ.4] Broker Amazon MQ harus diberi tag
<a name="mq-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan:** `tagged-amazonmq-broker` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah broker Amazon MQ memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika broker tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika broker tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="mq-4-remediation"></a>

Untuk menambahkan tag ke broker Amazon MQ, lihat [Menandai sumber daya](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) di Panduan Pengembang *Amazon* MQ.

## [MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
<a name="mq-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ ActiveMQ diatur ke aktif/siaga. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.

Penerapan aktif/siaga menyediakan ketersediaan tinggi untuk broker Amazon MQ ActiveMQ Anda di file. Wilayah AWS Mode penerapan aktif/siaga mencakup dua instance broker di dua Availability Zone yang berbeda, dikonfigurasi dalam pasangan redundan. Pialang ini berkomunikasi secara serempak dengan aplikasi Anda, yang dapat mengurangi waktu henti dan kehilangan data jika terjadi kegagalan.

### Remediasi
<a name="mq-5-remediation"></a>

*Untuk membuat broker ActiveMQ baru active/standby dengan mode penerapan, [lihat Membuat dan mengonfigurasi broker ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* Untuk **mode Deployment**, pilih **Active/Standby** broker. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.

## [MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
<a name="mq-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::AmazonMQ::Broker`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ RabbitMQ disetel ke penerapan cluster. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.

Penerapan cluster memberikan ketersediaan tinggi untuk broker Amazon MQ RabbitMQ Anda di file. Wilayah AWS Penyebaran cluster adalah pengelompokan logis dari tiga node broker RabbitMQ, masing-masing dengan volume Amazon Elastic Block Store (Amazon EBS) sendiri dan status bersama. Penyebaran cluster memastikan bahwa data direplikasi ke semua node di cluster, yang dapat mengurangi waktu henti dan hilangnya data jika terjadi kegagalan.

### Remediasi
<a name="mq-6-remediation"></a>

*Untuk membuat broker RabbitMQ baru dengan mode penerapan cluster, lihat [Membuat dan menghubungkan ke broker RabbitMQ di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) MQ.* Untuk **mode Deployment**, pilih **Penerapan cluster**. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.

# Kontrol CSPM Security Hub untuk Neptunus
<a name="neptune-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Neptunus.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
<a name="neptune-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster DB Neptunus Anda melindungi data dan metadata Anda dari akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.

### Remediasi
<a name="neptune-1-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster DB Neptunus. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. *Untuk informasi selengkapnya, lihat [Mengenkripsi sumber daya Neptunus saat istirahat di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html).*

## [Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
<a name="neptune-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), (9),, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB Neptunus menerbitkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika kluster DB Neptunus tidak mempublikasikan log audit ke Log. CloudWatch `EnableCloudWatchLogsExport`harus diatur ke`Audit`.

Amazon Neptunus dan CloudWatch Amazon terintegrasi sehingga Anda dapat mengumpulkan dan menganalisis metrik kinerja. Neptunus secara otomatis mengirimkan metrik CloudWatch ke dan juga mendukung Alarm. CloudWatch Log audit sangat dapat disesuaikan. Saat Anda mengaudit database, setiap operasi pada data dapat dipantau dan dicatat ke jejak audit, termasuk informasi tentang cluster database mana yang diakses dan bagaimana caranya. Kami merekomendasikan pengiriman log ini CloudWatch untuk membantu Anda memantau cluster DB Neptunus Anda.

### Remediasi
<a name="neptune-2-remediation"></a>

*Untuk memublikasikan log audit Neptunus CloudWatch ke Log, lihat [Menerbitkan log Neptunus ke Log CloudWatch Amazon di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html).* Di bagian **Log ekspor**, pilih **Audit**.

## [Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
<a name="neptune-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster DB manual Neptunus bersifat publik. Kontrol gagal jika snapshot cluster DB manual Neptunus bersifat publik.

Snapshot manual cluster Neptunus DB tidak boleh dipublikasikan kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, snapshot tersedia untuk semua. Akun AWS Cuplikan publik dapat mengakibatkan eksposur data yang tidak diinginkan.

### Remediasi
<a name="neptune-3-remediation"></a>

*Untuk menghapus akses publik untuk snapshot kluster DB manual Neptunus, [lihat Berbagi snapshot cluster DB](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) di Panduan Pengguna Neptunus.*

## [Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
<a name="neptune-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus mengaktifkan perlindungan penghapusan. Kontrol gagal jika cluster DB Neptunus tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan klaster menawarkan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh pengguna yang tidak sah. Cluster DB Neptunus tidak dapat dihapus saat perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu sebelum permintaan penghapusan berhasil.

### Remediasi
<a name="neptune-4-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster DB Neptunus yang ada, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) Panduan Pengguna Amazon Aurora.*

## [Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
<a name="neptune-5"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-12

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah cluster DB Neptunus telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika cadangan tidak diaktifkan untuk cluster DB Neptunus, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Dengan mengotomatiskan cadangan untuk cluster DB Neptunus Anda, Anda akan dapat memulihkan sistem Anda ke titik waktu tertentu dan meminimalkan waktu henti dan kehilangan data. 

### Remediasi
<a name="neptune-5-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis dan menetapkan periode retensi cadangan untuk kluster DB Neptunus Anda, lihat Mengaktifkan [pencadangan otomatis](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) di Panduan Pengguna Amazon RDS.* Untuk **periode retensi Backup**, pilih nilai yang lebih besar dari atau sama dengan 7.

## [Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
<a name="neptune-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot cluster Neptunus DB dienkripsi saat istirahat. Kontrol gagal jika cluster DB Neptunus tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah mendapatkan akses ke sana. Data dalam snapshot cluster DB Neptunus harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="neptune-6-remediation"></a>

Anda tidak dapat mengenkripsi snapshot cluster Neptunus DB yang ada. Sebagai gantinya, Anda harus mengembalikan snapshot ke cluster DB baru dan mengaktifkan enkripsi pada cluster. Anda dapat membuat snapshot terenkripsi dari cluster terenkripsi. *Untuk petunjuknya, lihat [Memulihkan dari snapshot cluster DB dan Membuat snapshot](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) [cluster DB di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).*

## [Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
<a name="neptune-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus memiliki otentikasi database IAM diaktifkan. Kontrol gagal jika otentikasi database IAM tidak diaktifkan untuk cluster DB Neptunus.

Autentikasi database IAM untuk kluster database Amazon Neptunus menghilangkan kebutuhan untuk menyimpan kredensil pengguna dalam konfigurasi database karena otentikasi dikelola secara eksternal menggunakan IAM. Ketika autentikasi database IAM diaktifkan, setiap permintaan harus ditandatangani menggunakan AWS Signature Version 4. 

### Remediasi
<a name="neptune-7-remediation"></a>

Secara default, otentikasi database IAM dinonaktifkan saat Anda membuat cluster DB Neptunus. *Untuk mengaktifkannya, lihat [Mengaktifkan otentikasi database IAM di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html).*

## [Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
<a name="neptune-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Neptunus dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat. Kontrol gagal jika cluster DB Neptunus tidak dikonfigurasi untuk menyalin tag ke snapshot.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus menandai snapshot dengan cara yang sama seperti cluster database Amazon RDS induknya. Menyalin tag memastikan bahwa metadata untuk snapshot DB cocok dengan cluster database induk, dan kebijakan akses untuk snapshot DB juga cocok dengan instans DB induk. 

### Remediasi
<a name="neptune-8-remediation"></a>

*Untuk menyalin tag ke snapshot untuk cluster DB Neptunus, lihat [Menyalin tag di Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*

## [Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
<a name="neptune-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)** 

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB Amazon Neptunus memiliki instance baca-replika di beberapa Availability Zones (). AZs Kontrol gagal jika cluster digunakan hanya dalam satu AZ.

Jika AZ tidak tersedia dan selama peristiwa pemeliharaan rutin, replika baca berfungsi sebagai target failover untuk instance utama. Artinya, jika instans primer gagal, Neptune mempromosikan instans replika baca menjadi instans primer. Sebaliknya, jika klaster DB Anda tidak menyertakan instans replika baca, klaster DB Anda tetap tidak tersedia ketika instans primer gagal sampai telah dibuat ulang. Membuat ulang instans primer membutuhkan waktu lebih lama daripada mempromosikan replika baca. Untuk memastikan ketersediaan tinggi, sebaiknya Anda membuat satu atau lebih instance read-replica yang memiliki kelas instans DB yang sama dengan instance utama dan terletak berbeda AZs dari instance primer.

### Remediasi
<a name="neptune-9-remediation"></a>

*Untuk menerapkan cluster DB Neptunus dalam AZs beberapa, [lihat Instance DB Read-replika di cluster DB Neptunus di Panduan Pengguna Neptunus](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*

# Kontrol CSPM Security Hub untuk AWS Network Firewall
<a name="networkfirewall-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Network Firewall layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
<a name="networkfirewall-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini mengevaluasi apakah firewall yang dikelola AWS Network Firewall dikerahkan di beberapa Availability Zones ()AZs. Kontrol gagal jika firewall digunakan hanya dalam satu AZ.

AWS Infrastruktur global mencakup banyak Wilayah AWS. AZs Secara fisik terpisah, lokasi terisolasi dalam setiap Wilayah yang dihubungkan oleh latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan menerapkan firewall Network Firewall di beberapa AZs, Anda dapat menyeimbangkan dan mengalihkan lalu lintas di antaranya AZs, yang membantu Anda merancang solusi yang sangat tersedia.

### Remediasi
<a name="networkfirewall-1-remediation"></a>

**Menerapkan firewall Network Firewall di beberapa AZs**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, di bawah **Network Firewall, pilih **Firewall****.

1. Pada halaman **Firewall**, pilih firewall yang ingin Anda edit.

1. Pada halaman detail firewall, pilih tab **Detail Firewall**.

1. **Di bagian **Kebijakan terkait dan VPC**, pilih Edit**

1. Untuk menambahkan AZ baru, pilih **Add New Subnet**. Pilih AZ dan subnet yang ingin Anda gunakan. Pastikan Anda memilih setidaknya dua AZs.

1. Pilih **Simpan**.

## [NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
<a name="networkfirewall-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), (26), NIST.800-53.r5 AC-2 (9),, NIST.800-53.r5 AC-4 (9), Nist.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), Nist.800-171.r2 3.1.20, Nist.800-171.r2 3.13.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk AWS Network Firewall firewall. Kontrol gagal jika logging tidak diaktifkan untuk setidaknya satu jenis log atau jika tujuan logging tidak ada.

Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja firewall Anda. Di Network Firewall, logging memberi Anda informasi rinci tentang lalu lintas jaringan, termasuk waktu mesin stateful menerima aliran paket, informasi rinci tentang aliran paket, dan tindakan aturan stateful yang diambil terhadap aliran paket.

### Remediasi
<a name="networkfirewall-2-remediation"></a>

Untuk mengaktifkan logging untuk firewall, lihat [Memperbarui konfigurasi logging firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait
<a name="networkfirewall-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.13.1

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan Network Firewall memiliki grup aturan stateful atau stateless yang terkait. Kontrol gagal jika kelompok aturan stateless atau stateful tidak ditugaskan.

Kebijakan firewall menentukan cara firewall Anda memantau dan menangani lalu lintas di Amazon Virtual Private Cloud (Amazon VPC). Konfigurasi kelompok aturan stateless dan stateful membantu memfilter paket dan arus lalu lintas, dan mendefinisikan penanganan lalu lintas default.

### Remediasi
<a name="networkfirewall-3-remediation"></a>

Untuk menambahkan grup aturan ke kebijakan Network Firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk informasi tentang membuat dan mengelola grup aturan, lihat [Grup aturan di AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

## [NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh
<a name="networkfirewall-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah tindakan stateless default untuk paket penuh untuk kebijakan Network Firewall adalah drop atau forward. Kontrol lolos jika `Drop` atau `Forward` dipilih, dan gagal jika `Pass` dipilih.

Kebijakan firewall menentukan bagaimana firewall Anda memantau dan menangani lalu lintas di Amazon VPC. Anda mengonfigurasi grup aturan stateless dan stateful untuk memfilter paket dan arus lalu lintas. Default untuk `Pass` dapat memungkinkan lalu lintas yang tidak diinginkan.

### Remediasi
<a name="networkfirewall-4-remediation"></a>

Untuk mengubah kebijakan firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **tindakan default Stateless**, pilih **Edit**. **Kemudian, pilih **Jatuhkan** atau **Teruskan ke grup aturan stateful** sebagai Tindakan.**

## [NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi
<a name="networkfirewall-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.1.3, Nist.800-171.r2 3.1.14, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.13.6

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah tindakan stateless default untuk paket terfragmentasi untuk kebijakan Network Firewall adalah drop atau forward. Kontrol lolos jika `Drop` atau `Forward` dipilih, dan gagal jika `Pass` dipilih.

Kebijakan firewall menentukan bagaimana firewall Anda memantau dan menangani lalu lintas di Amazon VPC. Anda mengonfigurasi grup aturan stateless dan stateful untuk memfilter paket dan arus lalu lintas. Default untuk `Pass` dapat memungkinkan lalu lintas yang tidak diinginkan.

### Remediasi
<a name="networkfirewall-5-remediation"></a>

Untuk mengubah kebijakan firewall, lihat [Memperbarui kebijakan firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **tindakan default Stateless**, pilih **Edit**. **Kemudian, pilih **Jatuhkan** atau **Teruskan ke grup aturan stateful** sebagai Tindakan.**

## [NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
<a name="networkfirewall-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21),, (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 Nist.800-171.r2 3.1.14, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.13.6

**Kategori:** Lindungi > Konfigurasi Jaringan Aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup aturan stateless AWS Network Firewall berisi aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan berisi aturan yang menentukan bagaimana firewall Anda memproses lalu lintas di VPC Anda. Grup aturan stateless kosong, ketika ada dalam kebijakan firewall, mungkin memberi kesan bahwa grup aturan akan memproses lalu lintas. Namun, ketika grup aturan stateless kosong, itu tidak memproses lalu lintas.

### Remediasi
<a name="networkfirewall-6-remediation"></a>

Untuk menambahkan aturan ke grup aturan Firewall Jaringan, lihat [Memperbarui grup aturan stateful di Panduan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) *Pengembang*. Pada halaman detail firewall, untuk **grup aturan Stateless**, pilih **Edit** untuk menambahkan aturan.

## [NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
<a name="networkfirewall-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan:** `tagged-networkfirewall-firewall` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Network Firewall firewall memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika firewall tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika firewall tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="networkfirewall-7-remediation"></a>

Untuk menambahkan tag ke firewall Network Firewall, lihat [Menandai AWS Network Firewall sumber daya](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
<a name="networkfirewall-8"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config aturan:** `tagged-networkfirewall-firewallpolicy` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah kebijakan AWS Network Firewall firewall memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika kebijakan firewall tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika kebijakan firewall tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="networkfirewall-8-remediation"></a>

Untuk menambahkan tag ke kebijakan Network Firewall, lihat [Menandai AWS Network Firewall sumber daya](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) di *Panduan AWS Network Firewall Pengembang*.

## [NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
<a name="networkfirewall-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Network Firewall firewall memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika perlindungan penghapusan tidak diaktifkan untuk firewall.

AWS Network Firewall adalah firewall jaringan stateful, dikelola dan layanan deteksi intrusi yang memungkinkan Anda untuk memeriksa dan memfilter lalu lintas ke, dari, atau antara Virtual Private Clouds () Anda. VPCs Pengaturan perlindungan penghapusan melindungi terhadap penghapusan firewall yang tidak disengaja.

### Remediasi
<a name="networkfirewall-9-remediation"></a>

Untuk mengaktifkan proteksi penghapusan pada firewall Network Firewall yang ada, lihat [Memperbarui firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) di *Panduan AWS Network Firewall Pengembang*. Untuk **Ubah perlindungan**, pilih **Aktifkan**. Anda juga dapat mengaktifkan perlindungan penghapusan dengan menjalankan [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API dan menyetel bidang ke. `DeleteProtection` `true`

## [NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
<a name="networkfirewall-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Keamanan Jaringan

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::NetworkFirewall::Firewall`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah perlindungan perubahan subnet diaktifkan untuk AWS Network Firewall firewall. Kontrol gagal jika perlindungan perubahan subnet tidak diaktifkan untuk firewall.

AWS Network Firewall adalah firewall jaringan stateful yang dikelola dan layanan deteksi intrusi yang dapat Anda gunakan untuk memeriksa dan memfilter lalu lintas ke, dari, atau di antara Virtual Private Clouds () Anda. VPCs Jika Anda mengaktifkan perlindungan perubahan subnet untuk firewall Network Firewall, Anda dapat melindungi firewall terhadap perubahan yang tidak disengaja pada asosiasi subnet firewall.

### Remediasi
<a name="networkfirewall-10-remediation"></a>

Untuk informasi tentang mengaktifkan perlindungan perubahan subnet untuk firewall Network Firewall yang ada, lihat [Memperbarui firewall di Panduan AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) *Pengembang*.

# Kontrol CSPM Security Hub untuk Amazon Service OpenSearch
<a name="opensearch-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi OpenSearch layanan dan sumber daya Amazon OpenSearch Service (Service). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
<a name="opensearch-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki encryption-at-rest konfigurasi yang diaktifkan. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan.

Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain OpenSearch Layanan Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, AWS KMS menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS gunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (AES-256).

Untuk mempelajari lebih lanjut tentang enkripsi OpenSearch Layanan saat istirahat, lihat [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) di *Panduan Pengembang OpenSearch * *Layanan Amazon*.

### Remediasi
<a name="opensearch-1-remediation"></a>

Untuk mengaktifkan enkripsi saat istirahat untuk OpenSearch domain baru dan yang sudah ada, lihat [Mengaktifkan enkripsi data saat istirahat di](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) Panduan *Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.2] OpenSearch domain tidak boleh diakses publik
<a name="opensearch-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, (7),, (21),,, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain berada dalam VPC. Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik.

Anda harus memastikan bahwa OpenSearch domain tidak dilampirkan ke subnet publik. Lihat [Kebijakan berbasis sumber daya di Panduan Pengembang](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) Layanan Amazon OpenSearch . Anda juga harus memastikan bahwa VPC Anda dikonfigurasi sesuai dengan praktik terbaik yang disarankan. Lihat [Praktik terbaik keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) di Panduan Pengguna Amazon VPC.

OpenSearch domain yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui AWS jaringan pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPCs menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke OpenSearch domain, termasuk ACL jaringan dan grup keamanan. Security Hub menyarankan agar Anda memigrasikan OpenSearch domain publik VPCs untuk memanfaatkan kontrol ini.

### Remediasi
<a name="opensearch-2-remediation"></a>

Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam VPC nanti. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda. Begitu juga sebaliknya. Jika Anda membuat domain dalam VPC, domain tersebut tidak dapat memiliki titik akhir publik. Sebagai gantinya, Anda harus [membuat domain lain](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) atau menonaktifkan kontrol ini.

Untuk petunjuknya, lihat [Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) di Panduan Pengembang *Layanan OpenSearch Amazon*.

## [Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
<a name="opensearch-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan node-to-node enkripsi. Kontrol ini gagal jika node-to-node enkripsi dinonaktifkan pada domain.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan atau serangan serupa. person-in-the-middle Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan node-to-node enkripsi untuk OpenSearch domain memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan.

Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji trade-off kinerja sebelum mengaktifkan opsi ini.

### Remediasi
<a name="opensearch-3-remediation"></a>

Untuk mengaktifkan node-to-node enkripsi pada OpenSearch domain, lihat [Mengaktifkan node-to-node enkripsi](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
<a name="opensearch-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `logtype = 'error'`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi untuk mengirim log kesalahan ke CloudWatch Log. Kontrol ini gagal jika error logging ke tidak CloudWatch diaktifkan untuk domain.

Anda harus mengaktifkan log kesalahan untuk OpenSearch domain dan mengirim log tersebut ke CloudWatch Log untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="opensearch-4-remediation"></a>

Untuk mengaktifkan penerbitan log, lihat [Mengaktifkan penerbitan log (konsol)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
<a name="opensearch-5"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(tidak dapat disesuaikan) - Security Hub CSPM tidak mengisi parameter ini. Daftar grup CloudWatch log Log yang dipisahkan koma yang harus dikonfigurasi untuk log audit.

Kontrol ini memeriksa apakah OpenSearch domain telah mengaktifkan pencatatan audit. Kontrol ini gagal jika OpenSearch domain tidak mengaktifkan pencatatan audit.

Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda melacak aktivitas pengguna di OpenSearch klaster Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeksOpenSearch, dan kueri penelusuran yang masuk.

### Remediasi
<a name="opensearch-5-remediation"></a>

Untuk petunjuk cara mengaktifkan log audit, lihat [Mengaktifkan log audit di Panduan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) *Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
<a name="opensearch-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain dikonfigurasi dengan setidaknya tiga node data dan `zoneAwarenessEnabled` adalah`true`. Kontrol ini gagal untuk OpenSearch domain jika `instanceCount` kurang dari 3 atau `zoneAwarenessEnabled` kurang`false`.

Untuk mencapai ketersediaan tinggi tingkat cluster dan toleransi kesalahan, OpenSearch domain harus memiliki setidaknya tiga node data. Menyebarkan OpenSearch domain dengan setidaknya tiga node data memastikan operasi cluster jika node gagal.

### Remediasi
<a name="opensearch-6-remediation"></a>

**Untuk mengubah jumlah node data dalam OpenSearch domain**

1. Masuk ke AWS konsol dan buka konsol OpenSearch Layanan Amazon di [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).

1. Di bawah **Domain saya**, pilih nama domain yang akan diedit, dan pilih **Edit**.

1. Di bawah **Data node** mengatur **Jumlah node** ke angka yang lebih besar dari`3`. Jika Anda menerapkan ke tiga Availability Zone, setel nomor ke kelipatan tiga untuk memastikan distribusi yang sama di seluruh Availability Zone. 

1. Pilih **Kirim**.

## [Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
<a name="opensearch-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen Akses Aman > Tindakan API sensitif dibatasi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah OpenSearch domain memiliki kontrol akses berbutir halus yang diaktifkan. Kontrol gagal jika kontrol akses berbutir halus tidak diaktifkan. Kontrol akses berbutir halus membutuhkan OpenSearch parameter `advanced-security-options` yang akan diaktifkan`update-domain-config`.

Kontrol akses berbutir halus menawarkan cara tambahan untuk mengontrol akses ke data Anda di Layanan Amazon. OpenSearch 

### Remediasi
<a name="opensearch-7-remediation"></a>

*Untuk mengaktifkan kontrol akses berbutir halus, lihat Kontrol akses [berbutir halus di OpenSearch Layanan Amazon di Panduan Pengembang Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html). OpenSearch *

## [Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
<a name="opensearch-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir domain OpenSearch Layanan Amazon dikonfigurasi untuk menggunakan kebijakan keamanan TLS terbaru. Kontrol gagal jika titik akhir OpenSearch domain tidak dikonfigurasi untuk menggunakan kebijakan terbaru yang didukung atau jika HTTPs tidak diaktifkan.

HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya. 

### Remediasi
<a name="opensearch-8-remediation"></a>

Untuk mengaktifkan enkripsi TLS, gunakan operasi [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Konfigurasikan [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)bidang untuk menentukan nilai untuk`TLSSecurityPolicy`. Untuk informasi selengkapnya, lihat [Node-to-node enkripsi](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.9] domain harus ditandai OpenSearch
<a name="opensearch-9"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan:** `tagged-opensearch-domain` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika domain tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika domain tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="opensearch-9-remediation"></a>

Untuk menambahkan tag ke domain OpenSearch Layanan, lihat [Bekerja dengan tag](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
<a name="opensearch-10"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon memiliki pembaruan perangkat lunak terbaru yang diinstal. Kontrol gagal jika pembaruan perangkat lunak tersedia tetapi tidak diinstal untuk domain.

OpenSearch Pembaruan perangkat lunak layanan menyediakan perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan. Menjaga up-to-date instalasi patch membantu menjaga keamanan dan ketersediaan domain. Jika tidak ada tindakan yang diambil pada pembaruan yang diperlukan, perangkat lunak layanan diperbarui secara otomatis (biasanya setelah 2 minggu). Kami merekomendasikan penjadwalan pembaruan selama waktu lalu lintas rendah ke domain untuk meminimalkan gangguan layanan. 

### Remediasi
<a name="opensearch-10-remediation"></a>

Untuk menginstal pembaruan perangkat lunak untuk OpenSearch domain, lihat [Memulai pembaruan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) di *Panduan Pengembang OpenSearch Layanan Amazon*.

## [Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
<a name="opensearch-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::OpenSearch::Domain`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah domain OpenSearch Layanan Amazon dikonfigurasi dengan setidaknya tiga node utama khusus. Kontrol gagal jika domain memiliki kurang dari tiga node utama khusus.

OpenSearch Layanan menggunakan node primer khusus untuk meningkatkan stabilitas cluster. Node utama khusus melakukan tugas manajemen klaster, tetapi tidak menyimpan data atau menanggapi permintaan unggahan data. Kami menyarankan Anda menggunakan Multi-AZ dengan standby, yang menambahkan tiga node utama khusus untuk setiap domain produksi OpenSearch . 

### Remediasi
<a name="opensearch-11-remediation"></a>

Untuk mengubah jumlah node utama untuk OpenSearch domain, lihat [Membuat dan mengelola domain OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) di *Panduan Pengembang OpenSearch Layanan Amazon*.

# Kontrol CSPM Security Hub untuk AWS Private CA
<a name="pca-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Private Certificate Authority (AWS Private CA) layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan
<a name="pca-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Private CA memiliki otoritas sertifikat root (CA) yang dinonaktifkan. Kontrol gagal jika root CA diaktifkan.

Dengan AWS Private CA, Anda dapat membuat hierarki CA yang mencakup CA root dan bawahan CAs. Anda harus meminimalkan penggunaan CA root untuk tugas sehari-hari, terutama di lingkungan produksi. Root CA seharusnya hanya digunakan untuk menerbitkan sertifikat untuk perantara CAs. Hal ini memungkinkan CA root disimpan di luar bahaya sementara perantara CAs melakukan tugas harian menerbitkan sertifikat entitas akhir.

### Remediasi
<a name="pca-1-remediation"></a>

Untuk menonaktifkan root CA, lihat [Memperbarui status CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) di *Panduan AWS Private Certificate Authority Pengguna*.

## [PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai
<a name="pca-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::ACMPCA::CertificateAuthority`

**AWS Config aturan:** `acmpca-certificate-authority-tagged`

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah otoritas sertifikat CA AWS Pribadi memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredKeyTags`. Kontrol gagal jika otoritas sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredKeyTags`. Jika parameter `requiredKeyTags` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika otoritas sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) Pengguna *IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat [Praktik dan strategi terbaik](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

### Remediasi
<a name="pca-2-remediation"></a>

Untuk menambahkan tag ke otoritas CA AWS Pribadi, lihat [Menambahkan tag untuk CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) di *Panduan AWS Private Certificate Authority Pengguna*.

# Kontrol CSPM Security Hub untuk Amazon RDS
<a name="rds-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi sumber daya Amazon Relational Database Service (Amazon RDS) dan Amazon RDS. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [RDS.1] Snapshot RDS harus pribadi
<a name="rds-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, (7),, (21),,, (11), (16), (20), (21), (3), (4 NIST.800-53.r5 AC-3) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot Amazon RDS bersifat publik. Kontrol gagal jika snapshot RDS bersifat publik. Kontrol ini mengevaluasi instans RDS, instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB.

Snapshot RDS digunakan untuk mencadangkan data pada instans RDS Anda pada titik waktu tertentu. Mereka dapat digunakan untuk mengembalikan status instans RDS sebelumnya.

Snapshot RDS tidak boleh bersifat publik kecuali dimaksudkan. Jika Anda membagikan snapshot manual yang tidak terenkripsi sebagai publik, ini membuat snapshot tersedia untuk semua. Akun AWS Hal ini dapat mengakibatkan paparan data yang tidak diinginkan dari instans RDS Anda.

Perhatikan bahwa jika konfigurasi diubah untuk mengizinkan akses publik, AWS Config aturan mungkin tidak dapat mendeteksi perubahan hingga 12 jam. Sampai AWS Config aturan mendeteksi perubahan, cek lolos meskipun konfigurasi melanggar aturan.

Untuk mempelajari lebih lanjut tentang berbagi snapshot DB, lihat [Berbagi snapshot DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) di Panduan Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-1-remediation"></a>

Untuk menghapus akses publik dari snapshot RDS, lihat [Berbagi snapshot di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) Pengguna *Amazon RDS*. **Untuk **visibilitas snapshot DB**, kami memilih Private.**

## [RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible
<a name="rds-2"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.3, Tolok Ukur AWS Yayasan CIS v3.0.0/2.3.3,, (21),, (11), (16), NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2 1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS dapat diakses publik dengan mengevaluasi `PubliclyAccessible` bidang dalam item konfigurasi instans.

Instans Neptunus DB dan cluster Amazon DocumentDB tidak memiliki bendera dan tidak dapat dievaluasi. `PubliclyAccessible` Namun, kontrol ini masih dapat menghasilkan temuan untuk sumber daya ini. Anda dapat menekan temuan ini.

`PubliclyAccessible`Nilai dalam konfigurasi instans RDS menunjukkan apakah instans DB dapat diakses publik. Ketika instans DB dikonfigurasi dengan`PubliclyAccessible`, itu adalah instance yang menghadap Internet dengan nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik. Ketika instans DB tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi.

Kecuali jika Anda bermaksud agar instans RDS Anda dapat diakses publik, instans RDS tidak boleh dikonfigurasi dengan nilai. `PubliclyAccessible` Melakukannya mungkin memungkinkan lalu lintas yang tidak perlu ke instance database Anda.

### Remediasi
<a name="rds-2-remediation"></a>

Untuk menghapus akses publik dari instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS. Untuk **akses Publik**, pilih **No**.

## [RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
<a name="rds-3"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.1, Tolok Ukur Yayasan CIS v3.0.0/2.3.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.3.1, (1), 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda.

Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Untuk lapisan keamanan tambahan untuk data sensitif Anda dalam instans RDS DB, Anda harus mengonfigurasi instans RDS DB Anda untuk dienkripsi saat istirahat. Untuk mengenkripsi instans dan snapshot RDS DB Anda saat istirahat, aktifkan opsi enkripsi untuk instans RDS DB Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. 

Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans RDS DB Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu memodifikasi aplikasi klien database Anda untuk menggunakan enkripsi. 

Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) Pengguna *Amazon* RDS.

### Remediasi
<a name="rds-3-remediation"></a>

*Untuk informasi tentang mengenkripsi instans DB di Amazon RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).*

## [RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
<a name="rds-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah snapshot RDS DB dienkripsi. Kontrol gagal jika snapshot RDS DB tidak dienkripsi.

Kontrol ini ditujukan untuk instans RDS DB. Namun, ini juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans DB Neptune, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan pada disk. Data dalam snapshot RDS harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

### Remediasi
<a name="rds-4-remediation"></a>

*Untuk mengenkripsi snapshot RDS, lihat Mengenkripsi [sumber daya Amazon RDS di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).* Saat Anda mengenkripsi instans RDS DB, data terenkripsi mencakup penyimpanan yang mendasari untuk instance, pencadangan otomatisnya, replika baca, dan snapshot.

Anda hanya dapat mengenkripsi instans RDS DB saat Anda membuatnya, bukan setelah instans DB dibuat. Namun, karena Anda dapat mengenkripsi salinan snapshot yang tidak dienkripsi, Anda dapat menambahkan enkripsi secara efektif ke instans DB yang tidak terenkripsi. Artinya, Anda dapat membuat snapshot instans DB, lalu membuat salinan terenkripsi dari snapshot tersebut. Anda kemudian dapat memulihkan instans DB dari snapshot terenkripsi untuk menghasilkan salinan terenkripsi dari instans DB asli.

## [RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
<a name="rds-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Kontrol gagal jika instans RDS DB tidak dikonfigurasi dengan beberapa Availability Zones (AZs). Kontrol ini tidak berlaku untuk instans RDS DB yang merupakan bagian dari penerapan cluster DB multi-AZ.

Mengonfigurasi instans Amazon RDS DB dengan AZs membantu memastikan ketersediaan data yang disimpan. Penerapan multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan AZ dan selama pemeliharaan RDS reguler.

### Remediasi
<a name="rds-5-remediation"></a>

Untuk menerapkan instans DB Anda dalam beberapa kali AZs, [Memodifikasi instans DB menjadi penerapan instans DB multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) di Panduan Pengguna *Amazon* RDS.

## [RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
<a name="rds-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  Jumlah detik antara pemantauan interval pengumpulan metrik  |  Enum  |  `1`, `5`, `10`, `15`, `30`, `60`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pemantauan yang disempurnakan diaktifkan untuk instans DB Amazon Relational Database Service (Amazon RDS). Kontrol gagal jika pemantauan yang ditingkatkan tidak diaktifkan untuk instance. Jika Anda memberikan nilai khusus untuk `monitoringInterval` parameter, kontrol hanya akan diteruskan jika metrik pemantauan yang disempurnakan dikumpulkan untuk instance pada interval yang ditentukan.

Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Enhanced Monitoring menyediakan metrik real-time dari sistem operasi yang dijalankan instans RDS DB Anda. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang mungkin dari lapisan hypervisor.

Metrik Pemantauan Ditingkatkan berguna ketika Anda ingin melihat bagaimana proses atau thread yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat [Pemantauan yang Ditingkatkan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) di *Panduan Pengguna Amazon RDS*.

### Remediasi
<a name="rds-6-remediation"></a>

Untuk petunjuk mendetail tentang mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB Anda, lihat [Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) di Panduan Pengguna *Amazon RDS*.

## [RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan
<a name="rds-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster RDS DB memiliki perlindungan penghapusan yang diaktifkan. Kontrol gagal jika cluster RDS DB tidak mengaktifkan perlindungan penghapusan.

Kontrol ini ditujukan untuk instans RDS DB. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptunus, dan cluster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda bisa menekannya.

Mengaktifkan perlindungan penghapusan klaster adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.

Ketika perlindungan penghapusan diaktifkan, klaster RDS tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.

### Remediasi
<a name="rds-7-remediation"></a>

*Untuk mengaktifkan perlindungan penghapusan klaster RDS DB, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) Panduan Pengguna Amazon RDS.* Untuk **perlindungan penghapusan, pilih Aktifkan perlindungan** **penghapusan**. 

## [RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
<a name="rds-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang terdaftar memiliki perlindungan penghapusan diaktifkan. Kontrol gagal jika instans RDS DB tidak mengaktifkan perlindungan penghapusan.

Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah.

Sementara perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan.

### Remediasi
<a name="rds-8-remediation"></a>

Untuk mengaktifkan perlindungan penghapusan instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna *Amazon* RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html). Untuk **perlindungan penghapusan, pilih Aktifkan perlindungan** **penghapusan**. 

## [RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
<a name="rds-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS DB dikonfigurasi untuk mempublikasikan log berikut ke Amazon CloudWatch Logs. Kontrol gagal jika instance tidak dikonfigurasi untuk mempublikasikan log berikut ke CloudWatch Log:
+ Oracle: Peringatan, Audit, Jejak, Pendengar
+ PostgreSQL: Postgresql, Tingkatkan
+ MySQL: Audit, Kesalahan, Umum, SlowQuery
+ MariaDB: Audit, Kesalahan, Umum, SlowQuery
+ SQL Server: Kesalahan, Agen
+ Aurora: Audit, Kesalahan, Umum, SlowQuery
+ Aurora-MySQL: Audit, Kesalahan, Umum, SlowQuery
+ Aurora-PostgreSQL: Postgresql

Database RDS harus mengaktifkan log yang relevan. Database logging menyediakan catatan rinci permintaan yang dibuat untuk RDS. Log basis data dapat membantu audit keamanan dan akses dan dapat membantu mendiagnosis masalah ketersediaan.

### Remediasi
<a name="rds-9-remediation"></a>

Untuk informasi tentang memublikasikan log database RDS ke CloudWatch Log, lihat [Menentukan log yang akan dipublikasikan ke CloudWatch Log](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) di Panduan Pengguna *Amazon RDS.*

## [RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS
<a name="rds-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans RDS DB memiliki otentikasi database IAM diaktifkan. Kontrol gagal jika otentikasi IAM tidak dikonfigurasi untuk instans RDS DB. Kontrol ini hanya mengevaluasi instans RDS dengan jenis mesin berikut:`mysql`,,,, `postgres` `aurora``aurora-mysql`, `aurora-postgresql` dan. `mariadb` Instance RDS juga harus berada di salah satu status berikut untuk menghasilkan temuan:`available`,, `backing-up``storage-optimization`, atau`storage-full`.

Autentikasi basis data IAM memungkinkan otentikasi ke instance database dengan token otentikasi, bukan kata sandi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat [autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) di Panduan Pengguna *Amazon Aurora*.

### Remediasi
<a name="rds-10-remediation"></a>

*Untuk mengaktifkan autentikasi database IAM pada instans RDS DB, lihat [Mengaktifkan dan menonaktifkan autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) di Panduan Pengguna Amazon RDS.*

## [RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis
<a name="rds-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  Periode retensi cadangan minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 
|  `checkReadReplicas`  |  Memeriksa apakah instans RDS DB memiliki cadangan yang diaktifkan untuk replika baca  |  Boolean  |  Tidak dapat disesuaikan  |  `false`  | 

Kontrol ini memeriksa apakah instans Amazon Relational Database Service telah mengaktifkan pencadangan otomatis, dan periode retensi cadangan yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Baca replika dikecualikan dari evaluasi. Kontrol gagal jika cadangan tidak diaktifkan untuk instance, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi cadangan, Security Hub CSPM menggunakan nilai default 7 hari.

Pencadangan membantu Anda pulih lebih cepat dari insiden keamanan dan memperkuat ketahanan sistem Anda. Amazon RDS memungkinkan Anda mengonfigurasi snapshot volume instans penuh harian. Untuk informasi selengkapnya tentang pencadangan otomatis Amazon RDS, lihat [Bekerja dengan Pencadangan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) di Panduan Pengguna *Amazon* RDS.

### Remediasi
<a name="rds-11-remediation"></a>

*Untuk mengaktifkan pencadangan otomatis pada instans RDS DB, lihat [Mengaktifkan pencadangan otomatis](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) di Panduan Pengguna Amazon RDS.*

## [RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
<a name="rds-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki otentikasi database IAM yang diaktifkan.

Autentikasi basis data IAM memungkinkan otentikasi bebas kata sandi ke instance database. Otentikasi menggunakan token otentikasi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat [autentikasi database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) di Panduan Pengguna *Amazon Aurora*.

### Remediasi
<a name="rds-12-remediation"></a>

*Untuk mengaktifkan autentikasi IAM untuk kluster DB, lihat [Mengaktifkan dan menonaktifkan autentikasi database IAM di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) Panduan Pengguna Amazon Aurora.* 

## [RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan
<a name="rds-13"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.2, Tolok Ukur Yayasan CIS AWS v3.0.0/2.3.2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance database RDS.

Upgrade versi minor otomatis memperbarui database secara berkala ke versi mesin database terbaru. Namun, upgrade mungkin tidak selalu menyertakan versi mesin database terbaru. Jika Anda perlu menyimpan database Anda pada versi tertentu pada waktu tertentu, kami sarankan Anda meningkatkan secara manual ke versi database yang Anda butuhkan sesuai dengan jadwal yang Anda butuhkan. Dalam kasus masalah keamanan kritis atau ketika versi mencapai end-of-support tanggalnya, Amazon RDS mungkin menerapkan pemutakhiran versi minor meskipun Anda belum mengaktifkan opsi **pemutakhiran versi minor Otomatis**. Untuk informasi selengkapnya, lihat dokumentasi pemutakhiran Amazon RDS untuk mesin database spesifik Anda:
+ [Upgrade versi minor otomatis untuk RDS untuk MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Upgrade versi minor otomatis untuk RDS untuk MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Upgrade versi minor otomatis untuk RDS untuk PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 pada versi Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Upgrade versi minor Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Peningkatan mesin Microsoft SQL Server DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### Remediasi
<a name="rds-13-remediation"></a>

Untuk mengaktifkan upgrade versi minor otomatis untuk instans DB yang ada, lihat [Memodifikasi instans Amazon RDS DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Pengguna *Amazon RDS*. Untuk **upgrade versi minor otomatis**, pilih **Ya**.

## [RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
<a name="rds-14"></a>

**Persyaratan terkait:** Nist.800-53.r5 CP-10, Nist.800-53.r5 CP-6, Nist.800-53.R5 CP-6 (1), Nist.800-53.r5 CP-6 (2), Nist.800-53.r5 CP-9, Nist.800-53.r5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  Jumlah jam untuk mundur cluster Aurora MySQL  |  Ganda  |  `0.1` untuk `72`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah klaster Amazon Aurora telah mengaktifkan backtracking. Kontrol gagal jika cluster tidak mengaktifkan backtracking. Jika Anda memberikan nilai kustom untuk `BacktrackWindowInHours` parameter, kontrol hanya akan diteruskan jika cluster mundur untuk jangka waktu yang ditentukan.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu. Itu tidak memerlukan pengembalian database untuk melakukannya.

### Remediasi
<a name="rds-14-remediation"></a>

*Untuk mengaktifkan backtracking Aurora, lihat [Mengonfigurasi backtracking di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) Panduan Pengguna Amazon Aurora.*

Perhatikan bahwa Anda tidak dapat mengaktifkan backtracking pada klaster yang ada. Sebagai gantinya, Anda dapat membuat klon yang mengaktifkan backtracking. Untuk informasi selengkapnya tentang batasan backtracking Aurora, lihat daftar batasan di [Ikhtisar](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html) backtracking.

## [RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
<a name="rds-15"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk cluster RDS DB Anda. Kontrol gagal jika klaster RDS DB tidak digunakan di beberapa Availability Zones ()AZs.

Cluster RDS DB harus dikonfigurasi untuk beberapa AZs untuk memastikan ketersediaan data yang disimpan. Penerapan ke beberapa AZs memungkinkan failover otomatis jika terjadi masalah ketersediaan AZ dan selama acara pemeliharaan RDS reguler.

### Remediasi
<a name="rds-15-remediation"></a>

Untuk menerapkan cluster DB Anda dalam beberapa AZs, [Memodifikasi instans DB menjadi penerapan instans DB multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) di Panduan Pengguna *Amazon* RDS.

Langkah-langkah remediasi berbeda untuk database global Aurora. Untuk mengonfigurasi beberapa Availability Zone untuk database global Aurora, pilih cluster DB Anda. Kemudian, pilih **Actions** and **Add reader**, dan tentukan beberapa AZs. Untuk informasi selengkapnya, lihat [Menambahkan Replika Aurora ke cluster DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) Pengguna *Amazon* Aurora.

## [RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-16"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `rds-cluster-copy-tags-to-snapshots-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster DB Amazon Aurora dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster DB saat snapshot dibuat. Kontrol gagal jika cluster Aurora DB tidak dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster saat snapshot dibuat.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua cluster Amazon Aurora DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot Aurora DB harus memiliki tag yang sama dengan cluster DB induknya. Di Amazon Aurora, Anda dapat mengonfigurasi cluster DB untuk secara otomatis menyalin semua tag untuk cluster ke snapshot cluster. Mengaktifkan pengaturan ini memastikan bahwa snapshot DB mewarisi tag yang sama dengan cluster DB induknya.

### Remediasi
<a name="rds-16-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster DB Amazon Aurora agar secara otomatis menyalin tag ke snapshot DB, [lihat Memodifikasi klaster DB Amazon Aurora di Panduan Pengguna Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html).*

## [RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
<a name="rds-17"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, Nist.800-53.R5 CM-2 (2)

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-instance-copy-tags-to-snapshots-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instance RDS DB dikonfigurasi untuk menyalin semua tag ke snapshot saat snapshot dibuat.

Identifikasi dan inventaris aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans RDS DB Anda sehingga Anda dapat menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial. Snapshot harus ditandai dengan cara yang sama seperti instance database RDS induknya. Mengaktifkan pengaturan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.

### Remediasi
<a name="rds-17-remediation"></a>

Untuk secara otomatis menyalin tag ke snapshot untuk instans RDS DB, lihat [Memodifikasi instans Amazon RDS DB di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS. Pilih **Salin tag ke snapshot**.

## [RDS.18] Instans RDS harus digunakan di VPC
<a name="rds-18"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-deployed-in-vpc` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS diterapkan pada EC2-VPC.

VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke sumber daya RDS. Kontrol ini termasuk titik akhir VPC, ACL jaringan, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami sarankan Anda membuat instans RDS di EC2-VPC.

### Remediasi
<a name="rds-18-remediation"></a>

*Untuk petunjuk cara memindahkan instans RDS ke VPC, lihat Memperbarui [VPC untuk instans DB di](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) Panduan Pengguna Amazon RDS.*

## [RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting
<a name="rds-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-cluster-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk kluster database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:

```
DBCluster: ["maintenance","failure"]
```

Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-19-remediation"></a>

Untuk berlangganan notifikasi peristiwa klaster RDS, lihat [Berlangganan pemberitahuan acara Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  klaster  | 
|  Cluster untuk dimasukkan  |  Semua cluster  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting
<a name="rds-20"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-instance-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS yang ada untuk instans database telah mengaktifkan notifikasi untuk jenis sumber berikut dan pasangan nilai kunci kategori peristiwa:

```
DBInstance: ["maintenance","configuration change","failure"]
```

Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-20-remediation"></a>

Untuk berlangganan notifikasi kejadian instans RDS, lihat [Berlangganan notifikasi peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Contoh  | 
|  Contoh untuk disertakan  |  Semua contoh  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting
<a name="rds-21"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-pg-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

```
DBParameterGroup: ["configuration change"]
```

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-21-remediation"></a>

Untuk berlangganan pemberitahuan peristiwa grup parameter database RDS, lihat [Berlangganan pemberitahuan peristiwa Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) di Panduan Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Grup parameter  | 
|  Kelompok parameter untuk disertakan  |  Semua kelompok parameter  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting
<a name="rds-22"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2

**Kategori:** Deteksi > Layanan Deteksi > Pemantauan aplikasi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::EventSubscription`

**AWS Config aturan:** `rds-sg-event-notifications-configured` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah langganan acara Amazon RDS ada dengan notifikasi diaktifkan untuk jenis sumber berikut, pasangan nilai kunci kategori peristiwa. Kontrol berlalu jika tidak ada langganan acara yang ada di akun Anda.

```
DBSecurityGroup: ["configuration change","failure"]
```

Pemberitahuan peristiwa RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi tambahan tentang pemberitahuan peristiwa RDS, lihat [Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) Pengguna *Amazon RDS.*

### Remediasi
<a name="rds-22-remediation"></a>

Untuk berlangganan notifikasi kejadian instans RDS, lihat [Berlangganan notifikasi peristiwa Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) Pengguna *Amazon RDS*. Gunakan nilai berikut:


| Bidang | Nilai | 
| --- | --- | 
|  Jenis sumber  |  Grup keamanan  | 
|  Kelompok keamanan untuk memasukkan  |  Semua kelompok keamanan  | 
|  Kategori acara untuk disertakan  |  Pilih kategori acara tertentu atau Semua kategori acara  | 

## [RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
<a name="rds-23"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `rds-no-default-ports` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster RDS atau instance menggunakan port selain port default mesin database. Kontrol gagal jika cluster atau instance RDS menggunakan port default. Kontrol ini tidak berlaku untuk instance RDS yang merupakan bagian dari cluster.

Jika Anda menggunakan port yang dikenal untuk menyebarkan cluster atau instance RDS, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke cluster atau instance RDS atau mendapatkan informasi tambahan tentang aplikasi Anda.

Ketika Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk terhubung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu termasuk aturan masuk yang memungkinkan konektivitas pada port baru.

### Remediasi
<a name="rds-23-remediation"></a>

Untuk mengubah port default instans RDS DB yang ada, lihat [Memodifikasi instans Amazon RDS DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Pengguna *Amazon RDS*. *Untuk mengubah port default klaster RDS DB yang ada, lihat [Memodifikasi cluster DB menggunakan konsol, CLI, dan API di](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) Panduan Pengguna Amazon Aurora.* Untuk **port Database**, ubah nilai port ke nilai non-default.

## [RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
<a name="rds-24"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster database Amazon RDS telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB). Aturan ini akan gagal jika nama pengguna admin diatur ke nilai default.

Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah selama pembuatan database RDS. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="rds-24-remediation"></a>

Untuk mengubah nama pengguna admin yang terkait dengan kluster database Amazon RDS, [buat kluster database RDS baru](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) dan ubah nama pengguna admin default saat membuat database.

## [RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
<a name="rds-25"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Anda telah mengubah nama pengguna administratif untuk instans database Amazon Relational Database Service (Amazon RDS) dari nilai default. Kontrol gagal jika nama pengguna administratif diatur ke nilai default. Kontrol tidak berlaku untuk mesin jenis neptunus (Neptunus DB) atau docdb (DocumentDB), dan untuk instance RDS yang merupakan bagian dari cluster. 

Nama pengguna administratif default pada database Amazon RDS adalah pengetahuan publik. Saat membuat database Amazon RDS, Anda harus mengubah nama pengguna administratif default ke nilai unik untuk mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="rds-25-remediation"></a>

Untuk mengubah nama pengguna administratif yang terkait dengan instance database RDS, pertama [buat instance database RDS baru](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Ubah nama pengguna administratif default saat membuat database.

## [RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
<a name="rds-26"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke true dan sumber daya menggunakan AWS Backup Vault Lock.  |  Boolean  |  `true` atau `false`  |  Tidak ada nilai default  | 

Kontrol ini mengevaluasi jika instans Amazon RDS DB dicakup oleh paket cadangan. Kontrol ini gagal jika instans RDS DB tidak tercakup oleh rencana cadangan. Jika Anda menyetel `backupVaultLockCheck` parameter sama dengan`true`, kontrol hanya akan diteruskan jika instance dicadangkan di brankas yang AWS Backup terkunci.

**catatan**  
Kontrol ini tidak mengevaluasi instance Neptunus dan DocumentDB. Itu juga tidak mengevaluasi instans RDS DB yang merupakan anggota cluster.

AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh. Layanan AWS Dengan AWS Backup, Anda dapat membuat kebijakan cadangan yang disebut rencana cadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan Anda, seperti seberapa sering mencadangkan data Anda dan berapa lama untuk menyimpan cadangan tersebut. Menyertakan instans RDS DB dalam paket cadangan membantu Anda melindungi data Anda dari kehilangan atau penghapusan yang tidak diinginkan.

### Remediasi
<a name="rds-26-remediation"></a>

Untuk menambahkan instans RDS DB ke paket AWS Backup cadangan, lihat [Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) *Pengembang*.

## [RDS.27] Cluster RDS DB harus dienkripsi saat istirahat
<a name="rds-27"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster RDS DB dienkripsi saat istirahat. Kontrol gagal jika cluster RDS DB tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data apa pun yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Enkripsi membantu Anda melindungi kerahasiaan data tersebut, mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya. Mengenkripsi kluster RDS DB Anda melindungi data dan metadata Anda terhadap akses yang tidak sah. Ini juga memenuhi persyaratan kepatuhan untuk data-at-rest enkripsi sistem file produksi.

### Remediasi
<a name="rds-27-remediation"></a>

Anda dapat mengaktifkan enkripsi saat istirahat saat Anda membuat cluster RDS DB. Anda tidak dapat mengubah pengaturan enkripsi setelah membuat cluster. Untuk informasi selengkapnya, lihat [Mengenkripsi klaster Amazon Aurora DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) di Panduan Pengguna Amazon *Aurora*.

## [RDS.28] Cluster RDS DB harus ditandai
<a name="rds-28"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan:** `tagged-rds-dbcluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-28-remediation"></a>

Untuk menambahkan tag ke kluster RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.29] Snapshot cluster RDS DB harus ditandai
<a name="rds-29"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBClusterSnapshot`

**AWS Config aturan:** `tagged-rds-dbclustersnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah snapshot kluster Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-29-remediation"></a>

Untuk menambahkan tag ke snapshot klaster RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.30] Instans RDS DB harus ditandai
<a name="rds-30"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan:** `tagged-rds-dbinstance` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah instans Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika instans DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-30-remediation"></a>

Untuk menambahkan tag ke instans RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.31] Grup keamanan RDS DB harus ditandai
<a name="rds-31"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSecurityGroup`

**AWS Config aturan:** `tagged-rds-dbsecuritygroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup keamanan Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika grup keamanan DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-31-remediation"></a>

Untuk menambahkan tag ke grup keamanan RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon RDS*.

## [RDS.32] Snapshot RDS DB harus ditandai
<a name="rds-32"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSnapshot`

**AWS Config aturan:** `tagged-rds-dbsnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah snapshot Amazon RDS DB memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-32-remediation"></a>

Untuk menambahkan tag ke snapshot RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.33] Grup subnet RDS DB harus ditandai
<a name="rds-33"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBSubnetGroup`

**AWS Config aturan:** `tagged-rds-dbsubnetgroups` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah grup subnet Amazon RDS DB memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet DB tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet DB tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="rds-33-remediation"></a>

Untuk menambahkan tag ke grup subnet RDS DB, lihat [Menandai sumber daya Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Pengguna *Amazon* RDS.

## [RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
<a name="rds-34"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika klaster tidak dikonfigurasi untuk mempublikasikan log audit ke CloudWatch Log. Kontrol tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB.

Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan. Saat mengonfigurasi klaster DB MySQL Aurora untuk mempublikasikan log audit ke grup log di Amazon Logs, Anda dapat melakukan analisis data CloudWatch log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

**catatan**  
Cara alternatif untuk mempublikasikan log audit ke CloudWatch Log adalah dengan mengaktifkan audit lanjutan dan menyetel parameter DB tingkat cluster ke. `server_audit_logs_upload` `1` Default untuk `server_audit_logs_upload parameter` adalah`0`. Namun, kami sarankan Anda menggunakan instruksi remediasi berikut sebagai gantinya untuk melewati kontrol ini.

### Remediasi
<a name="rds-34-remediation"></a>

*Untuk mempublikasikan log audit klaster MySQL DB Aurora ke Log, CloudWatch lihat Menerbitkan log [MySQL Amazon Aurora ke Log](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Amazon di Panduan Pengguna Amazon Aurora. CloudWatch *

## [RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
<a name="rds-35"></a>

**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pemutakhiran versi minor otomatis diaktifkan untuk cluster DB Multi-AZ Amazon RDS. Kontrol gagal jika pemutakhiran versi minor otomatis tidak diaktifkan untuk cluster DB multi-AZ.

RDS menyediakan upgrade versi minor otomatis sehingga Anda dapat menjaga cluster DB multi-AZ Anda tetap up to date. Versi minor dapat memperkenalkan fitur perangkat lunak baru, perbaikan bug, patch keamanan, dan peningkatan kinerja. Dengan mengaktifkan upgrade versi minor otomatis pada cluster database RDS, cluster, bersama dengan instance di cluster, akan menerima pembaruan otomatis ke versi minor ketika versi baru tersedia. Pembaruan diterapkan secara otomatis selama jendela pemeliharaan.

### Remediasi
<a name="rds-35-remediation"></a>

Untuk mengaktifkan pemutakhiran versi minor otomatis pada klaster DB multi-AZ, lihat [Memodifikasi klaster DB Multi-AZ di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) *Amazon* RDS.

## [RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
<a name="rds-36"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar tipe log yang dipisahkan koma untuk dipublikasikan ke Log CloudWatch   |  StringList  |  Tidak dapat disesuaikan  |  `postgresql`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for PostgreSQL DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika instans PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan jenis log yang disebutkan dalam parameter ke Log. `logTypes` CloudWatch 

Database logging menyediakan catatan rinci permintaan yang dibuat untuk instance RDS. PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

### Remediasi
<a name="rds-36-remediation"></a>

*Untuk memublikasikan log instans PostgreSQL DB ke Log, lihat [Menerbitkan CloudWatch log PostgreSQL ke Log Amazon di Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs). CloudWatch *

## [RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
<a name="rds-37"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster DB PostgreSQL Amazon Aurora dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika klaster Aurora PostgreSQL DB tidak dikonfigurasi untuk mempublikasikan log PostgreSQL ke Log. CloudWatch 

Database logging menyediakan catatan rinci permintaan yang dibuat untuk cluster RDS. Aurora PostgreSQL menghasilkan log peristiwa yang berisi informasi berguna bagi administrator. Menerbitkan log ini ke CloudWatch Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Anda juga dapat membuat alarm dan melihat metrik di. CloudWatch

### Remediasi
<a name="rds-37-remediation"></a>

*Untuk memublikasikan log klaster Aurora PostgreSQL DB ke Log, CloudWatch lihat Menerbitkan log [PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html) Aurora ke Log Amazon di Panduan Pengguna Amazon RDS. CloudWatch *

## [RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
<a name="rds-38"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for PostgreSQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika `rds.force_ssl` parameter untuk grup parameter yang terkait dengan instance disetel ke `0` (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="rds-38-remediation"></a>

*Untuk mewajibkan semua koneksi ke RDS agar instans PostgreSQL DB menggunakan SSL, lihat [Menggunakan SSL dengan instans PostgreSQL DB di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) Pengguna Amazon RDS.*

## [RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
<a name="rds-39"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instance Amazon RDS for MySQL database (DB) dienkripsi dalam perjalanan. Kontrol gagal jika `rds.require_secure_transport` parameter untuk grup parameter yang terkait dengan instance disetel ke `0` (off). Kontrol ini tidak mengevaluasi instans RDS DB yang merupakan bagian dari cluster DB.

Data dalam transit mengacu pada data yang berpindah dari satu lokasi ke lokasi lain, seperti antar node di cluster Anda atau antara klaster Anda dan aplikasi Anda. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko bahwa pengguna yang tidak sah dapat menguping lalu lintas jaringan.

### Remediasi
<a name="rds-39-remediation"></a>

*Untuk mewajibkan semua koneksi ke RDS agar instans MySQL DB menggunakan SSL, lihat [dukungan SSL/TLS untuk instans MySQL DB di Amazon RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) Pengguna Amazon RDS.*

## [RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
<a name="rds-40"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar jenis log yang RDS untuk SQL Server DB instance harus dikonfigurasi untuk dipublikasikan ke CloudWatch Log. Kontrol ini gagal jika instans DB tidak dikonfigurasi untuk mempublikasikan jenis log yang ditentukan dalam daftar.  |  EnumList (maksimal 2 item)  |  `agent`, `error`  |  `agent`, `error`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for Microsoft SQL Server DB dikonfigurasi untuk mempublikasikan log ke Amazon Logs. CloudWatch Kontrol gagal jika RDS untuk instans SQL Server DB tidak dikonfigurasi untuk mempublikasikan log ke CloudWatch Log. Anda dapat secara opsional menentukan jenis log yang instans DB harus dikonfigurasi untuk diterbitkan.

Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke instans Amazon RDS DB. Menerbitkan CloudWatch log ke Log memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. CloudWatch Log menyimpan log dalam penyimpanan yang sangat tahan lama. Selain itu, Anda dapat menggunakannya untuk membuat alarm untuk kesalahan tertentu yang dapat terjadi, seperti sering restart yang direkam dalam log kesalahan. Demikian pula, Anda dapat membuat alarm untuk kesalahan atau peringatan yang direkam dalam log agen SQL Server yang terkait dengan pekerjaan agen SQL.

### Remediasi
<a name="rds-40-remediation"></a>

Untuk informasi tentang memublikasikan CloudWatch log ke Log untuk instans DB RDS for SQL Server, lihat file log [database Amazon RDS for Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) di Panduan Pengguna Layanan Amazon *Relational Database Service*.

## [RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
<a name="rds-41"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke Amazon RDS untuk instans Microsoft SQL Server DB dienkripsi dalam perjalanan. Kontrol gagal jika parameter grup `rds.force_ssl` parameter yang terkait dengan instans DB diatur ke`0 (off)`.

Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.

### Remediasi
<a name="rds-41-remediation"></a>

Untuk informasi tentang mengaktifkan SSL/TLS koneksi ke instans Amazon RDS DB yang menjalankan Microsoft SQL Server, lihat [Menggunakan SSL dengan Instans DB Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) di Panduan Pengguna Layanan Amazon Relational *Database Service*.

## [RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
<a name="rds-42"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  Daftar jenis log yang instance MariaDB harus dikonfigurasi untuk dipublikasikan ke Log. CloudWatch Kontrol menghasilkan `FAILED` temuan jika instans DB tidak dikonfigurasi untuk mempublikasikan jenis log yang ditentukan dalam daftar.  |  EnumList (maksimal 4 item)  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

Kontrol ini memeriksa apakah instans Amazon RDS for MariaDB DB dikonfigurasi untuk mempublikasikan jenis log tertentu ke Amazon Logs. CloudWatch Kontrol gagal jika instance MariaDB tidak dikonfigurasi untuk mempublikasikan log ke Log. CloudWatch Anda dapat secara opsional menentukan jenis log yang mana instance MariaDB DB harus dikonfigurasi untuk dipublikasikan.

Pencatatan basis data menyediakan catatan terperinci tentang permintaan yang dibuat ke Amazon RDS for MariaDB instans DB. Menerbitkan log ke Amazon CloudWatch Logs memusatkan manajemen log dan membantu Anda melakukan analisis data log secara real-time. Selain itu, CloudWatch Log menyimpan log dalam penyimpanan yang tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat membuat alarm dan meninjau metrik.

### Remediasi
<a name="rds-42-remediation"></a>

*Untuk informasi tentang mengonfigurasi instans Amazon RDS for MariaDB untuk mempublikasikan log ke Log Amazon, lihat Menerbitkan log [MariaDB ke Log CloudWatch Amazon di CloudWatch Panduan Pengguna Layanan Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*

## [RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
<a name="rds-43"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBProxy`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah proxy Amazon RDS DB memerlukan TLS untuk semua koneksi antara proxy dan instans RDS DB yang mendasarinya. Kontrol gagal jika proxy tidak memerlukan TLS untuk semua koneksi antara proxy dan instans RDS DB.

Amazon RDS Proxy dapat bertindak sebagai lapisan keamanan tambahan antara aplikasi klien dan instans RDS DB yang mendasarinya. Misalnya, Anda dapat terhubung ke proxy RDS menggunakan TLS 1.3, meskipun instans DB yang mendasarinya mendukung versi TLS yang lebih lama. Dengan menggunakan RDS Proxy, Anda dapat menerapkan persyaratan otentikasi yang kuat untuk aplikasi database.

### Remediasi
<a name="rds-43-remediation"></a>

Untuk informasi tentang mengubah setelan proxy Amazon RDS agar memerlukan TLS, lihat [Memodifikasi proxy RDS di Panduan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) Pengguna *Layanan Amazon Relational Database Service*.

## [RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
<a name="rds-44"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke instans Amazon RDS for MariaDB DB dienkripsi saat transit. Kontrol gagal jika grup parameter DB yang terkait dengan instans DB tidak sinkron, atau `require_secure_transport` parameter grup parameter tidak disetel ke`ON`.

**catatan**  
Kontrol ini tidak mengevaluasi instans Amazon RDS DB yang menggunakan versi MariaDB lebih awal dari versi 10.5. `require_secure_transport`Parameter hanya didukung untuk MariaDB versi 10.5 dan yang lebih baru.

Data dalam transit mengacu pada data yang bergerak dari satu lokasi ke lokasi lain, seperti antara node dalam cluster DB atau antara cluster DB dan aplikasi klien. Data dapat bergerak di internet atau dalam jaringan pribadi. Mengenkripsi data dalam perjalanan mengurangi risiko pengguna yang tidak sah menguping lalu lintas jaringan.

### Remediasi
<a name="rds-44-remediation"></a>

*Untuk informasi tentang mengaktifkan koneksi ke instans Amazon RDS SSL/TLS for MariaDB DB[, SSL/TLS lihat Memerlukan semua koneksi ke instans DB MariaDB di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Amazon Relational Database Service.*

## [RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
<a name="rds-45"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora mengaktifkan pencatatan audit. Kontrol gagal jika grup parameter DB yang terkait dengan cluster DB tidak sinkron, `server_audit_logging` parameter tidak disetel ke`1`, atau `server_audit_events` parameter diatur ke nilai kosong.

Log basis data dapat membantu audit keamanan dan akses serta membantu mendiagnosis masalah ketersediaan. Log audit menangkap catatan aktivitas database, termasuk upaya login, modifikasi data, perubahan skema, dan peristiwa lain yang dapat diaudit untuk tujuan keamanan dan kepatuhan.

### Remediasi
<a name="rds-45-remediation"></a>

*Untuk informasi tentang mengaktifkan logging untuk kluster DB MySQL Amazon Aurora, lihat Menerbitkan log MySQL [Amazon Aurora ke Log Amazon di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) Amazon Aurora. CloudWatch *

## [RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
<a name="rds-46"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RDS::DBInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans Amazon RDS DB digunakan di subnet publik yang memiliki rute ke gateway internet. Kontrol gagal jika instans RDS DB digunakan di subnet yang memiliki rute ke gateway internet dan tujuan diatur ke atau. `0.0.0.0/0` `::/0`

Dengan menyediakan sumber daya Amazon RDS Anda di subnet pribadi, Anda dapat mencegah sumber daya RDS Anda menerima lalu lintas masuk dari internet publik, yang dapat mencegah akses yang tidak diinginkan ke instans RDS DB Anda. Jika sumber daya RDS disediakan dalam subnet publik yang terbuka untuk internet, mereka mungkin rentan terhadap risiko seperti eksfiltrasi data.

### Remediasi
<a name="rds-46-remediation"></a>

Untuk informasi tentang penyediaan subnet pribadi untuk instans Amazon RDS DB, lihat [Bekerja dengan instans DB di VPC di Panduan Pengguna](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) Layanan Amazon Relational Database *Service*.

## [RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-47"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon RDS for PostgreSQL DB dikonfigurasi untuk secara otomatis menyalin tag ke snapshot cluster DB saat snapshot dibuat. Kontrol gagal jika `CopyTagsToSnapshot` parameter diatur ke untuk RDS `false` untuk PostgreSQL DB cluster.

Menyalin tag ke snapshot DB membantu menjaga pelacakan sumber daya, tata kelola, dan alokasi biaya yang tepat di seluruh sumber daya cadangan. Hal ini memungkinkan identifikasi sumber daya yang konsisten, kontrol akses, dan pemantauan kepatuhan di database aktif dan snapshot mereka. Snapshot yang ditandai dengan benar meningkatkan operasi keamanan dengan memastikan sumber daya cadangan mewarisi metadata yang sama dengan basis data sumbernya.

### Remediasi
<a name="rds-47-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster Amazon RDS for PostgreSQL DB agar secara otomatis menyalin tag ke snapshot DB, [lihat Menandai resource Amazon RDS di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Amazon Relational Database Service.*

## [RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
<a name="rds-48"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Amazon RDS for MySQL DB cluster dikonfigurasi untuk secara otomatis menyalin tag ke snapshot dari cluster DB ketika snapshot dibuat. Kontrol gagal jika `CopyTagsToSnapshot` parameter diatur ke untuk RDS `false` untuk MySQL DB cluster.

Menyalin tag ke snapshot DB membantu menjaga pelacakan sumber daya, tata kelola, dan alokasi biaya yang tepat di seluruh sumber daya cadangan. Hal ini memungkinkan identifikasi sumber daya yang konsisten, kontrol akses, dan pemantauan kepatuhan di database aktif dan snapshot mereka. Snapshot yang ditandai dengan benar meningkatkan operasi keamanan dengan memastikan sumber daya cadangan mewarisi metadata yang sama dengan basis data sumbernya.

### Remediasi
<a name="rds-48-remediation"></a>

*Untuk informasi tentang mengonfigurasi klaster Amazon RDS for MySQL DB agar secara otomatis menyalin tag ke snapshot DB, [lihat Menandai resource Amazon RDS di Panduan Pengguna Layanan Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Relational Database Service.*

## [RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
<a name="rds-50"></a>

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RDS::DBCluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  Periode retensi cadangan minimum dalam beberapa hari agar kontrol dapat diperiksa  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah cluster RDS DB memiliki periode retensi cadangan minimum. Kontrol gagal jika periode retensi cadangan kurang dari nilai parameter yang ditentukan. Kecuali Anda memberikan nilai parameter kustom, Security Hub menggunakan nilai default 7 hari.

Kontrol ini memeriksa apakah cluster RDS DB memiliki periode retensi cadangan minimum. Kontrol gagal jika periode retensi cadangan kurang dari nilai parameter yang ditentukan. Kecuali Anda memberikan nilai parameter pelanggan, Security Hub menggunakan nilai default 7 hari. Kontrol ini berlaku untuk semua jenis cluster RDS DB termasuk cluster Aurora DB, cluster DocumentDB, cluster NeptuneDB, dll.

### Remediasi
<a name="rds-50-remediation"></a>

Untuk mengonfigurasi periode retensi cadangan untuk klaster RDS DB, ubah pengaturan cluster dan atur periode retensi cadangan setidaknya 7 hari (atau nilai yang ditentukan dalam parameter kontrol). Untuk petunjuk selengkapnya, lihat [Periode penyimpanan cadangan](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) di *Panduan Pengguna Layanan Amazon Relational Database Service*. *Untuk klaster Aurora DB, lihat [Ikhtisar pencadangan dan pemulihan klaster Aurora DB di Panduan Pengguna Amazon Aurora untuk](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) Aurora.* Untuk jenis cluster DB lainnya (misalnya cluster DocumentDB), lihat panduan pengguna layanan terkait untuk cara memperbarui periode retensi cadangan untuk klaster. 

# Kontrol CSPM Security Hub untuk Amazon Redshift
<a name="redshift-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Redshift.1] Cluster Amazon Redshift harus melarang akses publik
<a name="redshift-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah klaster Amazon Redshift dapat diakses publik. Ini mengevaluasi `PubliclyAccessible` bidang dalam item konfigurasi cluster. 

`PubliclyAccessible`Atribut konfigurasi klaster Amazon Redshift menunjukkan apakah klaster dapat diakses publik. Ketika cluster dikonfigurasi dengan `PubliclyAccessible` set to`true`, itu adalah instance yang menghadap Internet yang memiliki nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik.

Ketika cluster tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster Anda dapat diakses oleh publik, cluster tidak boleh dikonfigurasi dengan `PubliclyAccessible` set to`true`.

### Remediasi
<a name="redshift-1-remediation"></a>

Untuk memperbarui klaster Amazon Redshift untuk menonaktifkan akses publik, lihat [Memodifikasi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) Manajemen Pergeseran Merah *Amazon*. Setel **Dapat diakses publik** ke **No**.

## [Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
<a name="redshift-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi dalam perjalanan. Pemeriksaan gagal jika parameter cluster Amazon Redshift `require_SSL` tidak disetel ke. `True`

TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. 

### Remediasi
<a name="redshift-2-remediation"></a>

Untuk memperbarui grup parameter Amazon Redshift agar memerlukan enkripsi, lihat [Memodifikasi grup parameter](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) di Panduan Manajemen Pergeseran Merah *Amazon*. Setel `require_ssl` ke **Benar**.

## [Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
<a name="redshift-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)

**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  Periode retensi snapshot minimum dalam beberapa hari  |  Bilangan Bulat  |  `7` untuk `35`  |  `7`  | 

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan snapshot otomatis, dan periode retensi yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika snapshot otomatis tidak diaktifkan untuk cluster, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 7 hari.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot periodik secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. *Untuk detail selengkapnya tentang snapshot otomatis Amazon Redshift, lihat Snapshot [otomatis di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) Pergeseran Merah Amazon.*

### Remediasi
<a name="redshift-3-remediation"></a>

Untuk memperbarui periode retensi snapshot untuk klaster Amazon Redshift, [lihat Memodifikasi klaster di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) *Pergeseran Merah* Amazon. Untuk **Backup**, atur **retensi Snapshot** ke nilai 7 atau lebih tinggi.

## [Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
<a name="redshift-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan:** `redshift-cluster-audit-logging-enabled` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada 

Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan pencatatan audit.

Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat [Pencatatan audit database](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) di Panduan *Manajemen Pergeseran Merah Amazon*.

### Remediasi
<a name="redshift-4-remediation"></a>

*Untuk mengonfigurasi pencatatan audit untuk klaster Amazon Redshift, lihat [Mengonfigurasi audit menggunakan konsol di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) Amazon Redshift.*

## [Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
<a name="redshift-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5)

**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `allowVersionUpgrade = true`(tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pemutakhiran versi utama otomatis diaktifkan untuk klaster Amazon Redshift.

Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru ke kluster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

### Remediasi
<a name="redshift-6-remediation"></a>

Untuk mengatasi masalah ini dari AWS CLI, gunakan perintah Amazon `modify-cluster` Redshift, dan setel `--allow-version-upgrade` atribut. `clustername`adalah nama cluster Amazon Redshift Anda.

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
<a name="redshift-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Akses pribadi API

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah `EnhancedVpcRouting` diaktifkan.

Perutean VPC yang disempurnakan memaksa semua `COPY` dan `UNLOAD` lalu lintas antara cluster dan repositori data untuk melewati VPC Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC Flow Logs untuk memantau lalu lintas jaringan.

### Remediasi
<a name="redshift-7-remediation"></a>

*Untuk petunjuk remediasi terperinci, lihat [Mengaktifkan perutean VPC yang disempurnakan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
<a name="redshift-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Identifikasi > Konfigurasi Sumber Daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah klaster Amazon Redshift telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol ini akan gagal jika nama pengguna admin untuk cluster Redshift diatur ke. `awsuser`

Saat membuat klaster Redshift, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah pada konfigurasi. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.

### Remediasi
<a name="redshift-8-remediation"></a>

Anda tidak dapat mengubah nama pengguna admin untuk cluster Amazon Redshift Anda setelah membuatnya. Untuk membuat klaster baru dengan nama pengguna non-default, lihat [Langkah 1: Membuat contoh klaster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) di Panduan Memulai *Amazon Redshift*.

## [Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
<a name="redshift-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah cluster Amazon Redshift dienkripsi saat istirahat. Kontrol gagal jika klaster Redshift tidak dienkripsi saat istirahat atau jika kunci enkripsi berbeda dari kunci yang disediakan dalam parameter aturan.

Di Amazon Redshift, Anda dapat mengaktifkan enkripsi database untuk cluster Anda untuk membantu melindungi data saat istirahat. Saat Anda mengaktifkan enkripsi untuk cluster, blok data dan metadata sistem dienkripsi untuk cluster dan snapshot-nya. Enkripsi data saat istirahat adalah praktik terbaik yang disarankan karena menambahkan lapisan manajemen akses ke data Anda. Mengenkripsi cluster Redshift saat istirahat mengurangi risiko bahwa pengguna yang tidak sah dapat mengakses data yang disimpan pada disk.

### Remediasi
<a name="redshift-10-remediation"></a>

Untuk memodifikasi klaster Redshift agar menggunakan enkripsi KMS, lihat [Mengubah enkripsi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) Manajemen Pergeseran Merah *Amazon*.

## [Redshift.11] Cluster Redshift harus ditandai
<a name="redshift-11"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan:** `tagged-redshift-cluster` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-11-remediation"></a>

*Untuk menambahkan tag ke klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*

## [Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
<a name="redshift-12"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::EventSubscription`

**AWS Config aturan:** `tagged-redshift-eventsubscription` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-12-remediation"></a>

*Untuk menambahkan tag ke langganan notifikasi peristiwa Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*

## [Redshift.13] Cuplikan cluster Redshift harus ditandai
<a name="redshift-13"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterSnapshot`

**AWS Config aturan:** `tagged-redshift-clustersnapshot` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-13-remediation"></a>

*Untuk menambahkan tag ke snapshot klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.14] Grup subnet cluster Redshift harus ditandai
<a name="redshift-14"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config aturan:** `tagged-redshift-clustersubnetgroup` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah grup subnet klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="redshift-14-remediation"></a>

*Untuk menambahkan tag ke grup subnet klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*

## [Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi
<a name="redshift-15"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.3.1

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup keamanan yang terkait dengan klaster Amazon Redshift memiliki aturan masuk yang mengizinkan akses ke port cluster dari internet (0.0.0.0/0 atau: :/0). Kontrol gagal jika aturan masuknya grup keamanan mengizinkan akses ke port cluster dari internet.

Mengizinkan akses masuk yang tidak terbatas ke port cluster Redshift (alamat IP dengan akhiran /0) dapat mengakibatkan akses atau insiden keamanan yang tidak sah. Kami merekomendasikan untuk menerapkan prinsip akses hak istimewa paling rendah saat membuat grup keamanan dan mengonfigurasi aturan masuk.

### Remediasi
<a name="redshift-15-remediation"></a>

Untuk membatasi masuknya port klaster Redshift ke asal terbatas, lihat [Bekerja dengan aturan grup keamanan di](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) Panduan Pengguna Amazon *VPC*. Perbarui aturan di mana rentang port cocok dengan port cluster Redshift dan rentang port IP adalah 0.0.0.0/0.

## [Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
<a name="redshift-16"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol memeriksa apakah grup subnet klaster Amazon Redshift memiliki subnet dari lebih dari satu Availability Zone (AZ). Kontrol gagal jika grup subnet cluster tidak memiliki subnet dari setidaknya dua subnet yang berbeda. AZs

Mengonfigurasi subnet di beberapa AZs bantuan memastikan bahwa gudang data Redshift Anda dapat terus beroperasi bahkan ketika peristiwa kegagalan terjadi.

### Remediasi
<a name="redshift-16-remediation"></a>

*Untuk mengubah grup subnet klaster Redshift menjadi rentang beberapa AZs, lihat [Memodifikasi grup subnet klaster di Panduan Manajemen Pergeseran](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Merah Amazon.*

## [Redshift.17] Grup parameter cluster Redshift harus diberi tag
<a name="redshift-17"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Redshift::ClusterParameterGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah grup parameter cluster Amazon Redshift memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika grup parameter tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup parameter tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="redshift-17-remediation"></a>

Untuk informasi tentang menambahkan tag ke grup parameter klaster Amazon Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Manajemen *Pergeseran Merah* Amazon.

## [Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
<a name="redshift-18"></a>

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Redshift::Cluster`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah beberapa penerapan Availability Zones (Multi-AZ) diaktifkan untuk klaster Amazon Redshift. Kontrol gagal jika penerapan multi-AZ tidak diaktifkan untuk klaster Amazon Redshift.

Amazon Redshift mendukung beberapa penerapan Availability Zones (Multi-AZ) untuk kluster yang disediakan. Jika penerapan multi-AZ diaktifkan untuk klaster, gudang data Amazon Redshift dapat terus beroperasi dalam skenario kegagalan saat peristiwa tak terduga terjadi di Availability Zone (AZ). Penerapan multi-AZ menyebarkan sumber daya komputasi di lebih dari satu AZ dan sumber daya komputasi ini dapat diakses melalui satu titik akhir. Jika terjadi kegagalan AZ secara keseluruhan, sumber daya komputasi yang tersisa di AZ lain tersedia untuk melanjutkan pemrosesan beban kerja. Anda dapat mengonversi gudang data Single-AZ yang ada ke gudang data multi-AZ. Sumber daya komputasi tambahan kemudian disediakan dalam AZ kedua.

### Remediasi
<a name="redshift-18-remediation"></a>

*Untuk informasi tentang mengonfigurasi penerapan Multi-AZ untuk klaster Amazon Redshift, lihat [Mengonversi gudang data AZ tunggal menjadi gudang data Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) di Panduan Manajemen Pergeseran Merah Amazon.*

# Kontrol CSPM Security Hub untuk Amazon Redshift Serverless
<a name="redshiftserverless-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift Serverless. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan
<a name="redshiftserverless-1"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah perutean VPC yang disempurnakan diaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Kontrol gagal jika perutean VPC yang ditingkatkan dinonaktifkan untuk grup kerja.

Jika perutean VPC yang disempurnakan dinonaktifkan untuk workgroup Amazon Redshift Tanpa Server, Amazon Redshift merutekan lalu lintas melalui internet, termasuk lalu lintas ke layanan lain dalam jaringan. AWS Jika Anda mengaktifkan perutean VPC yang disempurnakan untuk grup kerja, Amazon Redshift memaksa semua `UNLOAD` lalu lintas antara cluster `COPY` dan repositori data Anda melalui virtual private cloud (VPC) berdasarkan layanan Amazon VPC. Dengan perutean VPC yang disempurnakan, Anda dapat menggunakan fitur VPC standar untuk mengontrol aliran data antara cluster Amazon Redshift dan sumber daya lainnya. Ini termasuk fitur seperti grup keamanan VPC dan kebijakan titik akhir, daftar kontrol akses jaringan (ACLs), dan server Sistem Nama Domain (DNS). Anda juga dapat menggunakan log aliran VPC untuk memantau `COPY` dan `UNLOAD` lalu lintas.

### Remediasi
<a name="redshiftserverless-1-remediation"></a>

*Untuk informasi selengkapnya tentang perutean VPC yang disempurnakan dan cara mengaktifkannya untuk grup kerja, lihat [Mengontrol lalu lintas jaringan dengan perutean VPC yang disempurnakan Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) di Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL
<a name="redshiftserverless-2"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah koneksi ke workgroup Amazon Redshift Tanpa Server diperlukan untuk mengenkripsi data dalam perjalanan. Kontrol gagal jika parameter `require_ssl` konfigurasi untuk workgroup diatur ke`false`.

Workgroup Amazon Redshift Tanpa Server adalah kumpulan sumber daya komputasi yang mengelompokkan sumber daya komputasi seperti, grup subnet RPUs VPC, dan grup keamanan. Properti workgroup mencakup pengaturan jaringan dan keamanan. Pengaturan ini menentukan apakah koneksi ke workgroup harus diperlukan untuk menggunakan SSL untuk mengenkripsi data dalam perjalanan.

### Remediasi
<a name="redshiftserverless-2-remediation"></a>

*Untuk informasi tentang memperbarui setelan grup kerja Amazon Redshift Tanpa Server agar memerlukan koneksi SSL, lihat Menyambungkan ke [Amazon Redshift Tanpa Server di Panduan Manajemen Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html).*

## [RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
<a name="redshiftserverless-3"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::RedshiftServerless::Workgroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses publik dinonaktifkan untuk grup kerja Amazon Redshift Tanpa Server. Ini mengevaluasi `publiclyAccessible` properti grup kerja Redshift Serverless. Kontrol gagal jika akses publik diaktifkan (`true`) untuk workgroup.

Pengaturan public access (`publiclyAccessible`) untuk workgroup Amazon Redshift Serverless menentukan apakah workgroup dapat diakses dari jaringan publik. Jika akses publik diaktifkan (`true`) untuk grup kerja, Amazon Redshift akan membuat alamat IP Elastis yang membuat grup kerja dapat diakses publik dari luar VPC. Jika Anda tidak ingin grup kerja dapat diakses publik, nonaktifkan akses publik untuk itu.

### Remediasi
<a name="redshiftserverless-3-remediation"></a>

*Untuk informasi tentang mengubah setelan akses publik untuk grup kerja Amazon Redshift Tanpa Server, lihat [Melihat properti untuk grup kerja di](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys
<a name="redshiftserverless-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), Nist.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  Daftar Nama Sumber Daya Amazon (ARNs) AWS KMS keys untuk disertakan dalam evaluasi. Kontrol menghasilkan `FAILED` temuan jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS dalam daftar.  |  StringList (maksimal 3 item)  |  1—3 kunci ARNs KMS yang ada. Sebagai contoh: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`.  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dienkripsi saat istirahat dengan pelanggan yang dikelola. AWS KMS key Kontrol gagal jika namespace Redshift Tanpa Server tidak dienkripsi dengan kunci KMS yang dikelola pelanggan. Anda dapat secara opsional menentukan daftar kunci KMS untuk kontrol untuk disertakan dalam evaluasi.

Di Amazon Redshift Tanpa Server, namespace mendefinisikan wadah logis untuk objek database. Kontrol ini secara berkala memeriksa apakah pengaturan enkripsi untuk namespace menentukan pelanggan yang dikelola AWS KMS key, bukan kunci KMS AWS terkelola, untuk enkripsi data di namespace. Dengan kunci KMS yang dikelola pelanggan, Anda memiliki kendali penuh atas kunci tersebut. Ini termasuk mendefinisikan dan memelihara kebijakan kunci, mengelola hibah, memutar materi kriptografi, menetapkan tag, membuat alias, dan mengaktifkan dan menonaktifkan kunci.

### Remediasi
<a name="redshiftserverless-4-remediation"></a>

*Untuk informasi tentang memperbarui setelan enkripsi untuk namespace Amazon Redshift Tanpa Server dan menentukan pelanggan yang dikelola AWS KMS key, lihat [Mengubah AWS KMS key namespace di](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Panduan Manajemen Amazon Redshift.*

## [RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default
<a name="redshiftserverless-5"></a>

**Kategori:** Identifikasi > Konfigurasi sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server adalah nama pengguna admin default. `admin` Kontrol gagal jika nama pengguna admin untuk namespace Redshift Serverless adalah. `admin` 

Saat membuat namespace Amazon Redshift Tanpa Server, Anda harus menentukan nama pengguna admin khusus untuk namespace. Nama pengguna admin default adalah pengetahuan publik. Dengan menentukan nama pengguna admin kustom, Anda dapat, misalnya, membantu mengurangi risiko atau efektivitas serangan brute force terhadap namespace.

### Remediasi
<a name="redshiftserverless-5-remediation"></a>

Anda dapat mengubah nama pengguna admin untuk namespace Amazon Redshift Tanpa Server dengan menggunakan konsol Amazon Redshift Serverless atau API. **Untuk mengubahnya dengan menggunakan konsol, pilih konfigurasi namespace, lalu pilih **Edit kredensi admin** di menu Tindakan.** Untuk mengubahnya secara terprogram, gunakan [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operasi atau, jika Anda menggunakan AWS CLI, jalankan perintah [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Jika Anda mengubah nama pengguna admin, Anda juga harus mengubah kata sandi admin secara bersamaan.

## [RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
<a name="redshiftserverless-6"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::RedshiftServerless::Namespace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah namespace Amazon Redshift Tanpa Server dikonfigurasi untuk mengekspor koneksi dan log pengguna ke Amazon Logs. CloudWatch Kontrol gagal jika namespace Redshift Tanpa Server tidak dikonfigurasi untuk mengekspor log ke Log. CloudWatch 

Jika Anda mengonfigurasi Amazon Redshift Tanpa Server untuk mengekspor data log koneksi (`connectionlog`) dan log pengguna (`userlog`) ke grup log di Amazon CloudWatch Logs, Anda dapat mengumpulkan dan menyimpan catatan log Anda dalam penyimpanan tahan lama, yang dapat mendukung ulasan dan audit keamanan, akses, dan ketersediaan. Dengan CloudWatch Log, Anda juga dapat melakukan analisis real-time data log dan digunakan CloudWatch untuk membuat alarm dan meninjau metrik.

### Remediasi
<a name="redshiftserverless-6-remediation"></a>

Untuk mengekspor data log untuk namespace Amazon Redshift Tanpa Server ke Amazon CloudWatch Logs, masing-masing log harus dipilih untuk diekspor dalam setelan konfigurasi pencatatan audit untuk namespace. Untuk informasi tentang memperbarui setelan ini, lihat [Mengedit keamanan dan enkripsi](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) di *Panduan Manajemen Amazon Redshift*.

# Kontrol CSPM Security Hub untuk Route 53
<a name="route53-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Route 53.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai
<a name="route53-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Route53::HealthCheck`

**AWS Config aturan:** `tagged-route53-healthcheck` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah pemeriksaan kesehatan Amazon Route 53 memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika pemeriksaan kesehatan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pemeriksaan kesehatan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="route53-1-remediation"></a>

Untuk menambahkan tag ke pemeriksaan kesehatan Route 53, lihat [Penamaan dan penandaan pemeriksaan kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) di *Panduan Pengembang Amazon Route 53*.

## [Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
<a name="route53-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.R5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Route53::HostedZone`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan kueri DNS diaktifkan untuk zona host publik Amazon Route 53. Kontrol gagal jika pencatatan kueri DNS tidak diaktifkan untuk zona host publik Route 53.

Mencatat kueri DNS untuk zona yang dihosting Route 53 memenuhi persyaratan keamanan dan kepatuhan DNS dan memberikan visibilitas. Log mencakup informasi seperti domain atau subdomain yang ditanyakan, tanggal dan waktu kueri, jenis catatan DNS (misalnya, A atau AAAA), dan kode respons DNS (misalnya, atau). `NoError` `ServFail` Saat pencatatan kueri DNS diaktifkan, Route 53 menerbitkan file log ke Amazon CloudWatch Logs.

### Remediasi
<a name="route53-2-remediation"></a>

Untuk mencatat kueri DNS untuk zona host publik Route 53, lihat [Mengonfigurasi pencatatan untuk kueri DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) di Panduan Pengembang *Amazon* Route 53.

# Kontrol CSPM Security Hub untuk Amazon S3
<a name="s3-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Storage Service (Amazon S3). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-1"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v3.0.0/2.1.4, Tolok Ukur Yayasan CIS AWS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4), NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-4, PCI DSS v3.2.1/1.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)** 

**Jenis jadwal:** Periodik

**Parameter:** 
+ `ignorePublicAcls`: `true` (tidak dapat disesuaikan)
+ `blockPublicPolicy`: `true` (tidak dapat disesuaikan)
+ `blockPublicAcls`: `true` (tidak dapat disesuaikan)
+ `restrictPublicBuckets`: `true` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah setelan akses publik blok Amazon S3 sebelumnya dikonfigurasi pada tingkat akun untuk bucket tujuan umum S3. Kontrol gagal jika satu atau lebih pengaturan akses publik blok diatur ke`false`.

Kontrol gagal jika salah satu pengaturan diatur ke`false`, atau jika salah satu pengaturan tidak dikonfigurasi.

Blok akses publik Amazon S3 dirancang untuk menyediakan kontrol di seluruh Akun AWS atau pada tingkat bucket S3 individual untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 Anda dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level akun.

Untuk mempelajari selengkapnya, lihat [Menggunakan Amazon S3 Blokir Akses Publik](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

### Remediasi
<a name="s3-1-remediation"></a>

Untuk mengaktifkan Amazon S3 Blokir Akses Publik untuk Anda Akun AWS, lihat [Mengonfigurasi setelan blokir akses publik untuk akun Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*.

## [S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
<a name="s3-2"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)**

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses baca publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses baca publik.

**catatan**  
Jika bucket S3 memiliki kebijakan bucket, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan bucket hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Beberapa kasus penggunaan mungkin mengharuskan semua orang di internet dapat membaca dari bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh dibaca publik.

### Remediasi
<a name="s3-2-remediation"></a>

Untuk memblokir akses baca publik di bucket Amazon S3, lihat [Mengonfigurasi blokir setelan akses publik untuk bucket S3 Anda di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
<a name="s3-3"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1,, (7),, (21),,, (11), (16), (16), 20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)** 

**Jenis jadwal:** Berkala dan perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengizinkan akses tulis publik. Ini mengevaluasi pengaturan blokir akses publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Kontrol gagal jika bucket mengizinkan akses tulis publik.

**catatan**  
Jika bucket S3 memiliki kebijakan bucket, kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan bucket hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak mengandung karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

Beberapa kasus penggunaan mengharuskan semua orang di internet dapat menulis ke bucket S3 Anda. Namun, situasi itu jarang terjadi. Untuk memastikan integritas dan keamanan data Anda, bucket S3 Anda tidak boleh ditulis secara publik.

### Remediasi
<a name="s3-3-remediation"></a>

Untuk memblokir akses tulis publik di bucket Amazon S3, lihat [Mengonfigurasi setelan blokir akses publik untuk bucket S3 Anda di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL
<a name="s3-5"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.1, Tolok Ukur Yayasan CIS v3.0.0/2.1.1, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.2, 7 (2),, (1), 2 (3), 3, 3, 3 (3), (4), (1), (2), NISt.800-53.r5 NIST.800-53.r5 AC-1 SI-7 NIST.800-53.r5 IA-5 (6) NIST.800-53.r5 AC-4, NISt.800-53.r5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-1 NISt.800-171.r2 NIST.800-53.r5 SC-2 3.13.8, Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v3.2.1/4.1, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki kebijakan yang mengharuskan permintaan untuk menggunakan SSL. Kontrol gagal jika kebijakan bucket tidak memerlukan permintaan untuk menggunakan SSL.

Bucket S3 harus memiliki kebijakan yang mengharuskan semua permintaan (`Action: S3:*`) hanya menerima transmisi data melalui HTTPS dalam kebijakan sumber daya S3, yang ditunjukkan oleh kunci kondisi. `aws:SecureTransport`

### Remediasi
<a name="s3-5-remediation"></a>

Untuk memperbarui kebijakan bucket Amazon S3 untuk menolak transportasi yang tidak aman, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Panduan Pengguna Layanan Penyimpanan *Sederhana Amazon*.

Tambahkan pernyataan kebijakan yang mirip dengan yang ada di kebijakan berikut. Ganti `amzn-s3-demo-bucket` dengan nama bucket yang Anda modifikasi.

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

Untuk informasi selengkapnya, lihat [Kebijakan bucket S3 apa yang harus saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) di *Pusat Pengetahuan AWS Resmi*.

## [S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
<a name="s3-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.r5 CM-2, Nist.800-171.r2 3.13.4

**Kategori:** Lindungi > Manajemen akses aman > Tindakan operasi API sensitif dibatasi 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config**aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah kebijakan bucket tujuan umum Amazon S3 mencegah prinsipal dari pihak lain Akun AWS melakukan tindakan yang ditolak pada sumber daya di bucket S3. Kontrol gagal jika kebijakan bucket mengizinkan satu atau beberapa tindakan sebelumnya untuk prinsipal di tempat lain. Akun AWS

Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan bucket S3 mengizinkan akses dari akun eksternal, hal itu dapat mengakibatkan eksfiltrasi data oleh ancaman orang dalam atau penyerang.

`blacklistedactionpatterns`Parameter ini memungkinkan evaluasi aturan yang berhasil untuk ember S3. Parameter memberikan akses ke akun eksternal untuk pola tindakan yang tidak termasuk dalam `blacklistedactionpatterns` daftar.

### Remediasi
<a name="s3-6-remediation"></a>

Untuk memperbarui kebijakan bucket Amazon S3 guna menghapus izin, lihat. [Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

Pada halaman **Edit kebijakan bucket**, di kotak teks pengeditan kebijakan, lakukan salah satu tindakan berikut:
+ Hapus pernyataan yang memberikan Akun AWS akses lain ke tindakan yang ditolak.
+ Hapus tindakan yang ditolak yang diizinkan dari pernyataan.

## [S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
<a name="s3-7"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 NIST.800-53.r5 SC-5 SI-13 (5)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan replikasi lintas wilayah. Kontrol gagal jika bucket tidak mengaktifkan replikasi lintas wilayah.

Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh ember dalam hal yang sama atau berbeda. Wilayah AWS Replikasi menyalin objek dan pembaruan objek yang baru dibuat dari bucket sumber ke bucket atau bucket tujuan. AWS praktik terbaik merekomendasikan replikasi untuk ember sumber dan tujuan yang dimiliki oleh yang sama. Akun AWS Selain ketersediaan, Anda harus mempertimbangkan pengaturan pengerasan sistem lainnya.

Kontrol ini menghasilkan `FAILED` temuan untuk bucket tujuan replikasi jika replikasi lintas wilayah tidak diaktifkan. Jika ada alasan sah bahwa bucket tujuan tidak memerlukan replikasi lintas wilayah untuk diaktifkan, Anda dapat menekan temuan untuk bucket ini.

### Remediasi
<a name="s3-7-remediation"></a>

Untuk mengaktifkan Replikasi Lintas Wilayah pada bucket S3, lihat [Mengonfigurasi replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun yang sama di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*. Untuk **bucket Source**, pilih **Apply to all objects in the bucket**.

## [S3.8] Bucket tujuan umum S3 harus memblokir akses publik
<a name="s3-8"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.4, Tolok Ukur AWS Yayasan CIS v3.0.02.1.4, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**
+ `excludedPublicBuckets`(tidak dapat disesuaikan) - Daftar terpisah koma dari nama bucket S3 publik yang diizinkan yang diketahui

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memblokir akses publik di tingkat bucket. Kontrol gagal jika salah satu pengaturan berikut diatur ke`false`:
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

Blokir Akses Publik pada tingkat bucket S3 menyediakan kontrol untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya.

Kecuali jika Anda bermaksud agar bucket S3 dapat diakses publik, Anda harus mengonfigurasi fitur Amazon S3 Block Public Access level bucket.

### Remediasi
<a name="s3-8-remediation"></a>

Untuk informasi tentang cara menghapus akses publik pada tingkat bucket, lihat [Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) Pengguna *Amazon S3*.

## [S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
<a name="s3-9"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), Nist.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan akses server diaktifkan untuk bucket tujuan umum Amazon S3. Kontrol gagal jika pencatatan akses server tidak diaktifkan. Saat logging diaktifkan, Amazon S3 mengirimkan log akses untuk bucket sumber ke bucket target yang dipilih. Bucket target harus Wilayah AWS sama dengan bucket sumber dan tidak boleh memiliki periode retensi default yang dikonfigurasi. Bucket logging target tidak perlu mengaktifkan logging akses server, dan Anda harus menekan temuan untuk bucket ini. 

Pencatatan akses server menyediakan catatan terperinci tentang permintaan yang dibuat ke ember. Log akses server dapat membantu dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Praktik Terbaik Keamanan untuk Amazon S3: Aktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).

### Remediasi
<a name="s3-9-remediation"></a>

*Untuk mengaktifkan pencatatan akses server Amazon S3, lihat [Mengaktifkan pencatatan akses server Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) Panduan Pengguna Amazon S3.*

## [S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
<a name="s3-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup.

Sebaiknya buat konfigurasi Siklus Hidup untuk bucket S3 untuk membantu menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek. 

### Remediasi
<a name="s3-10-remediation"></a>

[Untuk informasi selengkapnya tentang mengonfigurasi siklus hidup di bucket Amazon S3, lihat [Menyetel konfigurasi siklus hidup pada bucket dan Mengelola siklus hidup](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) penyimpanan Anda.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)

## [S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
<a name="s3-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4), Nist.800-171.R2 3.3.8

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  Daftar jenis acara S3 pilihan  |  EnumList (maksimal 28 item)  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah Pemberitahuan Peristiwa S3 diaktifkan pada bucket tujuan umum Amazon S3. Kontrol gagal jika Pemberitahuan Acara S3 tidak diaktifkan di bucket. Jika Anda memberikan nilai kustom untuk `eventTypes` parameter, kontrol hanya akan diteruskan jika pemberitahuan peristiwa diaktifkan untuk jenis peristiwa yang ditentukan.

Saat mengaktifkan Pemberitahuan Acara S3, Anda menerima peringatan saat peristiwa tertentu terjadi yang memengaruhi bucket S3 Anda. Misalnya, Anda dapat diberi tahu tentang pembuatan objek, penghapusan objek, dan restorasi objek. Pemberitahuan ini dapat mengingatkan tim terkait untuk modifikasi yang tidak disengaja atau disengaja yang dapat menyebabkan akses data yang tidak sah.

### Remediasi
<a name="s3-11-remediation"></a>

*Untuk informasi tentang mendeteksi perubahan pada bucket dan objek S3, lihat Pemberitahuan [Acara Amazon S3 di Panduan Pengguna Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html).*

## [S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
<a name="s3-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

**Kategori:** Lindungi > Manajemen akses yang aman > Kontrol akses

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memberikan izin pengguna dengan daftar kontrol akses (ACL). Kontrol gagal jika ACL dikonfigurasi untuk mengelola akses pengguna di bucket.

ACLs adalah mekanisme kontrol akses lama yang mendahului IAM. Sebagai gantinya ACLs, sebaiknya gunakan kebijakan bucket S3 atau kebijakan AWS Identity and Access Management (IAM) untuk mengelola akses ke bucket S3 Anda.

### Remediasi
<a name="s3-12-remediation"></a>

Untuk melewati kontrol ini, Anda harus menonaktifkan ACLs bucket S3 Anda. Untuk petunjuknya, lihat [Mengontrol kepemilikan objek dan menonaktifkan ACLs bucket Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

Untuk membuat kebijakan bucket S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Untuk membuat kebijakan pengguna IAM di bucket S3, lihat [Mengontrol akses ke bucket dengan kebijakan pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).

## [S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
<a name="s3-13"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

**Kategori:** Lindungi > Perlindungan data 

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  Jumlah hari setelah pembuatan objek ketika objek dialihkan ke kelas penyimpanan tertentu  |  Bilangan Bulat  |  `1` untuk `36500`  |  Tidak ada nilai default  | 
|  `targetExpirationDays`  |  Jumlah hari setelah pembuatan objek saat objek dihapus  |  Bilangan Bulat  |  `1` untuk `36500`  |  Tidak ada nilai default  | 
|  `targetTransitionStorageClass`  |  Jenis kelas penyimpanan S3 tujuan  |  Enum  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 memiliki konfigurasi Siklus Hidup. Kontrol gagal jika bucket tidak memiliki konfigurasi Siklus Hidup. Jika Anda memberikan nilai kustom untuk satu atau beberapa parameter sebelumnya, kontrol hanya akan diteruskan jika kebijakan menyertakan kelas penyimpanan, waktu penghapusan, atau waktu transisi yang ditentukan. 

Membuat konfigurasi Siklus Hidup untuk bucket S3 menentukan tindakan yang ingin dilakukan Amazon S3 selama masa pakai objek. Misalnya, Anda dapat mentransisikan objek ke kelas penyimpanan lain, mengarsipkannya, atau menghapusnya setelah jangka waktu tertentu.

### Remediasi
<a name="s3-13-remediation"></a>

*Untuk informasi tentang mengonfigurasi kebijakan siklus hidup di bucket Amazon S3, lihat [Menyetel konfigurasi siklus hidup di bucket dan lihat [Mengelola siklus](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) hidup penyimpanan di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) Panduan Pengguna Amazon S3.*

## [S3.14] Bucket tujuan umum S3 harus mengaktifkan versi
<a name="s3-14"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Persyaratan terkait:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5), Nist.800-171.R2 3.3.8

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan versi. Kontrol gagal jika pembuatan versi ditangguhkan untuk bucket.

Pembuatan versi menyimpan beberapa varian objek dalam bucket S3 yang sama. Anda dapat menggunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan versi sebelumnya dari objek yang disimpan di bucket S3 Anda. Pembuatan versi membantu Anda pulih dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.

**Tip**  
Karena jumlah objek bertambah dalam bucket karena pembuatan versi, Anda dapat mengatur konfigurasi Siklus Hidup untuk mengarsipkan atau menghapus objek berversi secara otomatis berdasarkan aturan. Untuk informasi selengkapnya, lihat [Manajemen Siklus Hidup Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/) untuk Objek Berversi.

### Remediasi
<a name="s3-14-remediation"></a>

*Untuk menggunakan pembuatan versi pada bucket S3, lihat [Mengaktifkan pembuatan versi pada bucket di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) Amazon S3.*

## [S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock
<a name="s3-15"></a>

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Persyaratan terkait:** Nist.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  Mode retensi Kunci Objek S3  |  Enum  |  `GOVERNANCE`, `COMPLIANCE`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 mengaktifkan Object Lock. Kontrol gagal jika Object Lock tidak diaktifkan untuk bucket. Jika Anda memberikan nilai kustom untuk `mode` parameter, kontrol hanya akan diteruskan jika S3 Object Lock menggunakan mode retensi yang ditentukan.

Anda dapat menggunakan S3 Object Lock untuk menyimpan objek menggunakan model write-once-read-many (WORM). Object Lock dapat membantu mencegah objek di bucket S3 dihapus atau ditimpa untuk jangka waktu tertentu atau tanpa batas waktu. Anda dapat menggunakan S3 Object Lock untuk memenuhi persyaratan peraturan yang memerlukan penyimpanan WORM, atau menambahkan lapisan perlindungan tambahan terhadap perubahan dan penghapusan objek.

### Remediasi
<a name="s3-15-remediation"></a>

*Untuk mengonfigurasi Object Lock untuk bucket S3 baru dan yang sudah ada, lihat [Mengonfigurasi Kunci Objek S3 di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) Amazon S3.* 

## [S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
<a name="s3-17"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Persyaratan terkait:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), Nist.800-53.r5 NIST.800-53.r5 SC-2 AU-9, Nist.800-171.r2 3.8.9, Nist.800-171.r2 3.13.11, Nist.800-171.r2 3.13.16, PCI DCI SS v4.0.1/3.5.1 NIST.800-53.r5 CA-9

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah bucket tujuan umum Amazon S3 dienkripsi dengan (SSE-KMS atau AWS KMS key DSSE-KMS). Kontrol gagal jika bucket dienkripsi dengan enkripsi default (SSE-S3).

Server-side encryption (SSE) adalah enkripsi data di tujuannya oleh aplikasi atau layanan yang menerimanya. Kecuali Anda menentukan sebaliknya, bucket S3 menggunakan kunci terkelola Amazon S3 (SSE-S3) secara default untuk enkripsi sisi server. Namun, untuk kontrol tambahan, Anda dapat memilih untuk mengonfigurasi bucket untuk menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS atau DSSE-KMS) sebagai gantinya. Amazon S3 mengenkripsi data Anda pada tingkat objek saat menulisnya ke disk di pusat AWS data dan mendekripsi untuk Anda saat Anda mengaksesnya.

### Remediasi
<a name="s3-17-remediation"></a>

*Untuk mengenkripsi bucket S3 menggunakan SSE-KMS, lihat [Menentukan enkripsi sisi server dengan (SSE-KMS) di Panduan Pengguna Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html).* *Untuk mengenkripsi bucket S3 menggunakan DSSE-KMS, lihat [Menentukan enkripsi sisi server dua lapis dengan ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) di Panduan Pengguna Amazon S3.*

## [S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-19"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::S3::AccessPoint`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah titik akses Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal jika blokir pengaturan akses publik tidak diaktifkan untuk titik akses.

Fitur Akses Publik Blok Amazon S3 membantu Anda mengelola akses ke sumber daya S3 di tiga tingkatan: tingkat akun, bucket, dan titik akses. Pengaturan di setiap level dapat dikonfigurasi secara independen, memungkinkan Anda memiliki tingkat pembatasan akses publik yang berbeda untuk data Anda. Pengaturan titik akses tidak dapat secara individual mengganti pengaturan yang lebih ketat di tingkat yang lebih tinggi (tingkat akun atau bucket yang ditetapkan ke titik akses). Sebaliknya, pengaturan pada tingkat titik akses bersifat aditif, yang berarti mereka melengkapi dan bekerja bersama pengaturan di tingkat lain. Kecuali jika Anda bermaksud jalur akses S3 dapat diakses publik, Anda harus mengaktifkan blokir pengaturan akses publik.

### Remediasi
<a name="s3-19-remediation"></a>

Saat ini, Amazon S3 tidak mendukung perubahan pengaturan akses publik blokir titik akses setelah titik akses dibuat. Semua pengaturan akses publik blok diaktifkan secara default saat Anda membuat titik akses baru. Kami menyarankan Anda tetap mengaktifkan semua pengaturan kecuali Anda tahu bahwa Anda memiliki kebutuhan khusus untuk menonaktifkan salah satu pengaturan tersebut. Untuk informasi selengkapnya, lihat [Mengelola akses publik ke titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

## [S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
<a name="s3-20"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/2.1.2, Tolok Ukur Yayasan CIS v3.0.0/2.1.2, Tolok Ukur AWS Yayasan CIS v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

**Kategori:** Lindungi > Perlindungan data > Perlindungan penghapusan data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3::Bucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah penghapusan autentikasi multi-faktor (MFA) diaktifkan untuk bucket tujuan umum Amazon S3. Kontrol gagal jika penghapusan MFA tidak diaktifkan untuk bucket. Kontrol tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi siklus hidup.

Jika Anda mengaktifkan pembuatan versi untuk bucket tujuan umum S3, Anda dapat menambahkan lapisan keamanan lain secara opsional dengan mengonfigurasi penghapusan MFA untuk bucket. Jika Anda melakukan ini, pemilik bucket harus menyertakan dua bentuk otentikasi dalam permintaan apa pun untuk menghapus versi objek di bucket atau mengubah status pembuatan versi bucket. MFA delete memberikan keamanan tambahan jika, misalnya, kredensi keamanan pemilik bucket dikompromikan. Penghapusan MFA juga dapat membantu mencegah penghapusan bucket yang tidak disengaja dengan mengharuskan pengguna yang memulai tindakan penghapusan untuk membuktikan kepemilikan fisik perangkat MFA dengan kode MFA, yang menambahkan lapisan gesekan dan keamanan ekstra pada tindakan penghapusan.

**catatan**  
Kontrol ini menghasilkan `PASSED` temuan hanya jika penghapusan MFA diaktifkan untuk bucket tujuan umum S3. Untuk mengaktifkan penghapusan MFA untuk bucket, pembuatan versi juga harus diaktifkan untuk bucket. Bucket versioning adalah metode menyimpan beberapa variasi objek S3 dalam bucket yang sama. Selain itu, hanya pemilik bucket yang masuk sebagai pengguna root yang dapat mengaktifkan penghapusan MFA dan melakukan tindakan penghapusan pada bucket. Anda tidak dapat menggunakan penghapusan MFA dengan bucket yang memiliki konfigurasi siklus hidup.

### Remediasi
<a name="s3-20-remediation"></a>

*Untuk informasi tentang mengaktifkan versi dan mengonfigurasi penghapusan MFA untuk bucket S3, lihat Mengonfigurasi penghapusan [MFA di Panduan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) Layanan Penyimpanan Sederhana Amazon.*

## [S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
<a name="s3-22"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.8, Tolok Ukur Yayasan CIS v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data tulis untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data tulis untuk bucket S3.

Operasi tingkat objek S3, seperti,`GetObject`, dan `DeleteObject``PutObject`, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data tulis, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan `PASSED` temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat hanya penulisan atau semua jenis peristiwa data untuk semua bucket S3.

### Remediasi
<a name="s3-22-remediation"></a>

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) di Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
<a name="s3-23"></a>

**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v5.0.0/3.9, Tolok Ukur Yayasan CIS v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS 

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah an Akun AWS memiliki setidaknya satu jejak AWS CloudTrail Multi-wilayah yang mencatat semua peristiwa data baca untuk bucket Amazon S3. Kontrol gagal jika akun tidak memiliki jejak Multi-wilayah yang mencatat peristiwa data baca untuk bucket S3.

Operasi tingkat objek S3, seperti,`GetObject`, dan `DeleteObject``PutObject`, disebut peristiwa data. Secara default, CloudTrail tidak mencatat peristiwa data, tetapi Anda dapat mengonfigurasi jejak untuk mencatat peristiwa data untuk bucket S3. Saat mengaktifkan pencatatan tingkat objek untuk peristiwa data baca, Anda dapat mencatat setiap akses objek (file) individual dalam bucket S3. Mengaktifkan pencatatan tingkat objek dapat membantu Anda memenuhi persyaratan kepatuhan data, melakukan analisis keamanan komprehensif, memantau pola perilaku pengguna tertentu dalam diri Anda Akun AWS, dan mengambil tindakan pada aktivitas API tingkat objek dalam bucket S3 Anda dengan menggunakan Amazon Events. CloudWatch Kontrol ini menghasilkan `PASSED` temuan jika Anda mengonfigurasi jejak Multi-wilayah yang mencatat read-only atau semua jenis peristiwa data untuk semua bucket S3.

### Remediasi
<a name="s3-23-remediation"></a>

Untuk mengaktifkan pencatatan tingkat objek untuk bucket S3, lihat [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) di Panduan Pengguna Layanan Penyimpanan Sederhana *Amazon*.

## [S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok
<a name="s3-24"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::S3::MultiRegionAccessPoint`

**AWS Config aturan:** `s3-mrap-public-access-blocked` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah Titik Akses Multi-Wilayah Amazon S3 telah mengaktifkan pengaturan akses publik blok. Kontrol gagal ketika Titik Akses Multi-Wilayah tidak mengaktifkan pengaturan akses publik blok.

Sumber daya yang dapat diakses publik dapat menyebabkan akses yang tidak sah, pelanggaran data, atau eksploitasi kerentanan. Membatasi akses melalui tindakan otentikasi dan otorisasi membantu melindungi informasi sensitif dan menjaga integritas sumber daya Anda.

### Remediasi
<a name="s3-24-remediation"></a>

Secara default, semua pengaturan Blokir Akses Publik diaktifkan untuk Titik Akses Multi-Wilayah S3. Untuk informasi selengkapnya, lihat [Memblokir akses publik dengan Titik Akses Multi-Wilayah Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*. Anda tidak dapat mengubah pengaturan Blokir Akses Publik untuk Titik Akses Multi-Wilayah setelah dibuat.

## [S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
<a name="s3-25"></a>

**Kategori:** Lindungi > Perlindungan Data

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::S3Express::DirectoryBucket`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  Jumlah hari, setelah pembuatan objek, ketika objek harus kedaluwarsa.  |  Bilangan Bulat  |  `1` untuk `2147483647`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah aturan siklus hidup dikonfigurasi untuk bucket direktori S3. Kontrol gagal jika aturan siklus hidup tidak dikonfigurasi untuk bucket direktori, atau aturan siklus hidup untuk bucket menentukan setelan kedaluwarsa yang tidak cocok dengan nilai parameter yang Anda tentukan secara opsional.

Di Amazon S3, konfigurasi siklus hidup adalah seperangkat aturan yang menentukan tindakan untuk Amazon S3 untuk diterapkan ke grup objek dalam bucket. Untuk bucket direktori S3, Anda dapat membuat aturan siklus hidup yang menentukan kapan objek kedaluwarsa berdasarkan usia (dalam hari). Anda juga dapat membuat aturan siklus hidup yang menghapus unggahan multibagian yang tidak lengkap. Tidak seperti jenis bucket S3 lainnya, seperti bucket tujuan umum, bucket direktori tidak mendukung jenis tindakan lain untuk aturan siklus hidup, seperti transisi objek antar kelas penyimpanan.

### Remediasi
<a name="s3-25-remediation"></a>

Untuk menentukan konfigurasi siklus hidup bucket direktori S3, buat aturan siklus hidup untuk bucket. Untuk informasi selengkapnya, lihat [Membuat dan mengelola konfigurasi siklus hidup untuk bucket direktori Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

# Kontrol CSPM Security Hub untuk AI SageMaker
<a name="sagemaker-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon SageMaker AI. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
<a name="sagemaker-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker AI. Kontrol gagal jika `DirectInternetAccess` bidang diaktifkan untuk instance notebook. 

Jika Anda mengonfigurasi instans SageMaker AI tanpa VPC, maka secara default akses internet langsung diaktifkan pada instans Anda. Anda harus mengonfigurasi instans Anda dengan VPC dan mengubah pengaturan default menjadi **Nonaktifkan —** Akses internet melalui VPC. Untuk melatih atau meng-host model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, VPC Anda harus memiliki antarmuka endpoint (AWS PrivateLink) atau gateway NAT dan grup keamanan yang memungkinkan koneksi keluar. Untuk mempelajari lebih lanjut tentang cara menghubungkan instans notebook ke sumber daya di VPC, lihat [Menyambungkan instans notebook ke sumber daya di VPC di](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Panduan Pengembang *Amazon SageMaker * AI. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker AI Anda terbatas hanya untuk pengguna yang berwenang. Batasi izin IAM yang memungkinkan pengguna mengubah pengaturan dan sumber daya SageMaker AI.

### Remediasi
<a name="sagemaker-1-remediation"></a>

Anda tidak dapat mengubah setelan akses internet setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance dengan akses internet yang diblokir. Untuk menghapus instance notebook yang mengizinkan akses internet langsung, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) *Pengembang Amazon SageMaker AI*. Untuk membuat ulang instance notebook yang menolak akses internet, lihat [Membuat instance notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Untuk **Jaringan, akses internet langsung**, pilih **Nonaktifkan — Akses internet melalui VPC**.

## [SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
<a name="sagemaker-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI diluncurkan dalam cloud pribadi virtual kustom (VPC). Kontrol ini gagal jika instance notebook SageMaker AI tidak diluncurkan dalam VPC khusus atau jika diluncurkan di VPC layanan SageMaker AI.

Subnet adalah berbagai alamat IP dalam VPC. Sebaiknya simpan sumber daya Anda di dalam VPC kustom bila memungkinkan untuk memastikan perlindungan jaringan yang aman dari infrastruktur Anda. VPC Amazon adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS Dengan Amazon VPC, Anda dapat mengontrol akses jaringan dan konektivitas internet SageMaker AI Studio dan instance notebook Anda.

### Remediasi
<a name="sagemaker-2-remediation"></a>

Anda tidak dapat mengubah pengaturan VPC setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance. Untuk petunjuknya, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) di *Panduan Pengembang Amazon SageMaker AI*.

## [SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
<a name="sagemaker-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah akses root diaktifkan untuk instance notebook Amazon SageMaker AI. Kontrol gagal jika akses root diaktifkan untuk instance notebook SageMaker AI.

Sesuai dengan prinsip hak istimewa terkecil, ini adalah praktik terbaik keamanan yang disarankan untuk membatasi akses root ke sumber daya instans untuk menghindari izin penyediaan secara tidak sengaja.

### Remediasi
<a name="sagemaker-3-remediation"></a>

Untuk membatasi akses root ke instance notebook SageMaker AI, lihat [Kontrol akses root ke instans notebook SageMaker AI di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) *Pengembang Amazon SageMaker AI*.

## [SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1
<a name="sagemaker-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::EndpointConfig`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah varian produksi titik akhir Amazon SageMaker AI memiliki jumlah instans awal lebih besar dari 1. Kontrol gagal jika varian produksi titik akhir hanya memiliki 1 instance awal.

Varian produksi yang berjalan dengan jumlah instans lebih dari 1 memungkinkan redundansi instans multi-AZ yang dikelola oleh AI. SageMaker Menyebarkan sumber daya di beberapa Availability Zone adalah praktik AWS terbaik untuk menyediakan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan tinggi membantu Anda pulih dari insiden keamanan.

**catatan**  
Kontrol ini hanya berlaku untuk konfigurasi endpoint berbasis instance.

### Remediasi
<a name="sagemaker-4-remediation"></a>

Untuk informasi selengkapnya tentang parameter konfigurasi titik akhir, lihat [Membuat konfigurasi titik akhir di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) *Pengembang Amazon SageMaker AI*.

## [SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
<a name="sagemaker-5"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::Model`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah model yang dihosting Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika `EnableNetworkIsolation` parameter untuk model yang dihosting disetel ke`False`.

SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan. Jika Anda mengaktifkan isolasi jaringan, tidak ada panggilan jaringan masuk atau keluar yang dapat dilakukan ke atau dari wadah model, termasuk panggilan ke atau dari yang lain. Layanan AWS Selain itu, tidak ada AWS kredenal yang tersedia untuk lingkungan runtime container. Mengaktifkan isolasi jaringan membantu mencegah akses yang tidak diinginkan ke sumber daya SageMaker AI Anda dari internet.

**catatan**  
Pada 13 Agustus 2025, Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih akurat mencerminkan bahwa kontrol memeriksa pengaturan untuk `EnableNetworkIsolation` parameter model yang dihosting Amazon SageMaker AI. Sebelumnya, judul kontrol ini adalah: *SageMaker models should block inbound traffic*.

### Remediasi
<a name="sagemaker-5-remediation"></a>

Untuk informasi selengkapnya tentang isolasi jaringan untuk model SageMaker AI, lihat [Menjalankan pelatihan dan wadah inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat model, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.

## [SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
<a name="sagemaker-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SageMaker::AppImageConfig`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`) memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya akan memeriksa keberadaan kunci tag dan gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="sagemaker-6-remediation"></a>

Untuk menambahkan tag ke konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`), Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.7] SageMaker gambar harus diberi tag
<a name="sagemaker-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SageMaker::Image`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah gambar Amazon SageMaker AI memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika gambar tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gambar tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="sagemaker-7-remediation"></a>

Untuk menambahkan tag ke image Amazon SageMaker AI, Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).

## [SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
<a name="sagemaker-8"></a>

**Kategori:** Deteksi > Kerentanan, tambalan, dan manajemen versi

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)**

**Jenis jadwal:** Periodik

**Parameter:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI dikonfigurasi untuk berjalan pada platform yang didukung, berdasarkan pengenal platform yang ditentukan untuk instance notebook. Kontrol gagal jika instance notebook dikonfigurasi untuk berjalan pada platform yang tidak lagi didukung.

Jika platform untuk instans notebook Amazon SageMaker AI tidak lagi didukung, platform tersebut mungkin tidak menerima patch keamanan, perbaikan bug, atau jenis pembaruan lainnya. Instans notebook mungkin terus berfungsi, tetapi mereka tidak akan menerima pembaruan keamanan SageMaker AI atau perbaikan bug penting. Anda menanggung risiko yang terkait dengan penggunaan platform yang tidak didukung. Untuk informasi selengkapnya, lihat [JupyterLabpembuatan versi](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) di Panduan *Pengembang Amazon SageMaker AI*.

### Remediasi
<a name="sagemaker-8-remediation"></a>

Untuk informasi tentang platform yang didukung Amazon SageMaker AI saat ini dan cara bermigrasi ke platform tersebut, lihat [Instans notebook Amazon Linux 2 di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Pengembang Amazon SageMaker AI*.

## [SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-9"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan kualitas data SageMaker AI Amazon telah mengaktifkan enkripsi untuk lalu lintas antar kontainer. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan tidak mengaktifkan enkripsi untuk lalu lintas antar kontainer.

Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML sensitif selama pemrosesan terdistribusi untuk analisis kualitas data. 

### Remediasi
<a name="sagemaker-9-remediation"></a>

Untuk informasi selengkapnya tentang enkripsi lalu lintas antar-kontainer untuk Amazon SageMaker AI, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan enkripsi lalu lintas antar kontainer dengan menyetel nilai untuk `EnableInterContainerTrafficEncryption` parameter tersebut. `True`

## [SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-10"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan penjelasan SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan penjelasan model tidak mengaktifkan enkripsi lalu lintas antar kontainer.

Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML yang sensitif seperti data model, kumpulan data pelatihan, hasil pemrosesan menengah, parameter, dan bobot model selama pemrosesan terdistribusi untuk analisis penjelasan. 

### Remediasi
<a name="sagemaker-10-remediation"></a>

Untuk definisi pekerjaan penjelasan SageMaker model yang ada, enkripsi lalu lintas antar kontainer tidak dapat diperbarui di tempat. Untuk membuat definisi pekerjaan penjelasan SageMaker model baru dengan enkripsi lalu lintas antar kontainer diaktifkan, gunakan API [atau [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) atau](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) dan atur ke. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`

## [SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
<a name="sagemaker-11"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan pemantauan kualitas data Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan memiliki isolasi jaringan dinonaktifkan.

Isolasi jaringan mengurangi serangan. permukaan dan mencegah akses eksternal sehingga melindungi terhadap akses eksternal yang tidak sah, paparan data yang tidak disengaja dan potensi eksfiltrasi data. 

### Remediasi
<a name="sagemaker-11-remediation"></a>

Untuk informasi selengkapnya tentang isolasi jaringan untuk SageMaker AI, lihat [Menjalankan wadah pelatihan dan inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.

## [SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
<a name="sagemaker-12"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi kebijakan sumber daya

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model mengaktifkan isolasi jaringan. Kontrol gagal jika definisi pekerjaan bias model tidak mengaktifkan isolasi jaringan.

Isolasi jaringan mencegah pekerjaan bias SageMaker model berkomunikasi dengan sumber daya eksternal melalui internet. Dengan mengaktifkan isolasi jaringan, Anda memastikan bahwa wadah pekerjaan tidak dapat membuat koneksi keluar, mengurangi permukaan serangan dan melindungi data sensitif dari eksfiltrasi. Ini sangat penting untuk pekerjaan yang memproses data yang diatur atau sensitif.

### Remediasi
<a name="sagemaker-12-remediation"></a>

Untuk mengaktifkan isolasi jaringan, Anda harus membuat definisi pekerjaan bias model baru dengan `EnableNetworkIsolation` parameter yang disetel ke`True`. Isolasi jaringan tidak dapat dimodifikasi setelah pembuatan definisi pekerjaan. Untuk membuat definisi pekerjaan bias model baru, lihat [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*. 

## [SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-13"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan kualitas SageMaker model Amazon mengaktifkan enkripsi saat transit untuk lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan kualitas model tidak mengaktifkan enkripsi lalu lintas antar kontainer.

Enkripsi lalu lintas antar kontainer melindungi data yang dikirimkan antar kontainer selama pekerjaan pemantauan kualitas model terdistribusi. Secara default, lalu lintas antar kontainer tidak dienkripsi. Mengaktifkan enkripsi membantu menjaga kerahasiaan data selama pemrosesan dan mendukung kepatuhan terhadap persyaratan peraturan untuk data dalam perlindungan transit.

### Remediasi
<a name="sagemaker-13-remediation"></a>

Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan kualitas SageMaker model Amazon Anda, Anda harus membuat ulang definisi pekerjaan dengan konfigurasi enkripsi dalam perjalanan yang sesuai. Untuk membuat definisi pekerjaan kualitas model, lihat [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*. 

## [SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
<a name="sagemaker-14"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::MonitoringSchedule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah jadwal SageMaker pemantauan Amazon mengaktifkan isolasi jaringan. Kontrol gagal jika jadwal pemantauan telah EnableNetworkIsolation disetel ke false atau tidak dikonfigurasi

Isolasi jaringan mencegah pekerjaan pemantauan dari membuat panggilan jaringan keluar, mengurangi permukaan serangan dengan menghilangkan akses internet dari kontainer.

### Remediasi
<a name="sagemaker-14-remediation"></a>

Untuk informasi tentang mengonfigurasi isolasi jaringan dalam NetworkConfig parameter saat membuat atau memperbarui jadwal pemantauan, lihat [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)atau [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)di *Panduan Pengembang Amazon SageMaker AI*.

## [SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
<a name="sagemaker-15"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer saat menggunakan beberapa instance komputasi. Kontrol gagal jika `EnableInterContainerTrafficEncryption` disetel ke false atau tidak dikonfigurasi untuk definisi pekerjaan dengan jumlah instance 2 atau lebih besar.

EInter-enkripsi lalu lintas kontainer melindungi data yang dikirimkan antara instance komputasi selama pekerjaan pemantauan bias model terdistribusi. Enkripsi mencegah akses tidak sah ke informasi terkait model seperti bobot yang dikirimkan antar instance.

### Remediasi
<a name="sagemaker-15-remediation"></a>

Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan bias SageMaker model, setel `EnableInterContainerTrafficEncryption` parameter ke `True` saat definisi pekerjaan menggunakan beberapa instance komputasi. Untuk informasi tentang melindungi komunikasi antar instans komputasi ML, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI. 

# Kontrol CSPM Security Hub untuk Secrets Manager
<a name="secretsmanager-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Secrets Manager layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
<a name="secretsmanager-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  Jumlah hari maksimum yang diizinkan untuk frekuensi rotasi rahasia  |  Bilangan Bulat  |  `1` untuk `365`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah rahasia yang disimpan AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol gagal jika rahasia tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai khusus untuk `maximumAllowedRotationFrequency` parameter, kontrol hanya akan berlalu jika rahasia diputar secara otomatis dalam jendela waktu yang ditentukan.

Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.

Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.

### Remediasi
<a name="secretsmanager-1-remediation"></a>

Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.

## [SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar
<a name="secretsmanager-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Pengembangan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika `RotationOccurringAsScheduled` ada`false`. Kontrol hanya mengevaluasi rahasia yang telah dihidupkan rotasi.

Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.

Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda.

Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi.

Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.

### Remediasi
<a name="secretsmanager-2-remediation"></a>

Jika rotasi otomatis gagal, maka Secrets Manager mungkin mengalami kesalahan dengan konfigurasi. Untuk memutar rahasia di Secrets Manager, Anda menggunakan fungsi Lambda yang mendefinisikan cara berinteraksi dengan database atau layanan yang memiliki rahasia.

*Untuk bantuan mendiagnosis dan memperbaiki kesalahan umum yang terkait dengan rotasi rahasia, lihat [Memecahkan masalah AWS Secrets Manager rotasi rahasia di Panduan](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) Pengguna.AWS Secrets Manager *

## [SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
<a name="secretsmanager-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  Jumlah hari maksimum yang rahasia dapat tetap tidak digunakan  |  Bilangan Bulat  |  `1` untuk `365`  |  `90`  | 

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia telah diakses dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak digunakan di luar kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode akses, Security Hub CSPM menggunakan nilai default 90 hari.

Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan pengguna mereka, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak sah, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Secrets Manager. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.

### Remediasi
<a name="secretsmanager-3-remediation"></a>

Untuk menghapus rahasia Secrets Manager yang tidak aktif, lihat [Menghapus AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) di *Panduan AWS Secrets Manager Pengguna*.

## [SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
<a name="secretsmanager-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)**

**Jenis jadwal:** Periodik

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  Jumlah hari maksimum yang rahasia dapat tetap tidak berubah  |  Bilangan Bulat  |  `1` untuk `180`  |  `90`  | 

Kontrol ini memeriksa apakah sebuah AWS Secrets Manager rahasia diputar setidaknya sekali dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak diputar setidaknya ini sering. Kecuali Anda memberikan nilai parameter khusus untuk periode rotasi, Security Hub CSPM menggunakan nilai default 90 hari.

Rahasia berputar dapat membantu Anda mengurangi risiko penggunaan rahasia Anda yang tidak sah dalam diri Anda. Akun AWS Contohnya termasuk kredensi basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasianya lebih mungkin dikompromikan.

Karena semakin banyak pengguna mendapatkan akses ke rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak sah. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar.

Anda dapat mengonfigurasi rotasi otomatis untuk rahasia di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, secara signifikan mengurangi risiko kompromi. Kami menyarankan Anda mengonfigurasi rotasi otomatis untuk rahasia Secrets Manager Anda. Untuk informasi selengkapnya, lihat [Memutar rahasia AWS Secrets Manager Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan Pengguna AWS Secrets Manager *. 

### Remediasi
<a name="secretsmanager-4-remediation"></a>

Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.

## [SecretsManager.5] Rahasia Secrets Manager harus ditandai
<a name="secretsmanager-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SecretsManager::Secret`

**AWS Config aturan:** `tagged-secretsmanager-secret` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Secrets Manager rahasia memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika rahasia tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rahasia tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="secretsmanager-5-remediation"></a>

Untuk menambahkan tag ke rahasia Secrets Manager, lihat [Menandai AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*.

# Kontrol CSPM Security Hub untuk AWS Service Catalog
<a name="servicecatalog-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Service Catalog layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS
<a name="servicecatalog-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7

**Kategori:** Lindungi > Manajemen akses yang aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::ServiceCatalog::Portfolio`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Service Catalog berbagi portofolio dalam organisasi saat integrasi dengan AWS Organizations diaktifkan. Kontrol gagal jika portofolio tidak dibagikan dalam suatu organisasi.

Berbagi portofolio hanya dalam Organizations membantu memastikan bahwa portofolio tidak dibagikan dengan salah Akun AWS. Untuk berbagi portofolio Service Catalog dengan akun di suatu organisasi, Security Hub CSPM merekomendasikan penggunaan `ORGANIZATION_MEMBER_ACCOUNT` sebagai gantinya. `ACCOUNT` Ini menyederhanakan administrasi dengan mengatur akses yang diberikan ke akun di seluruh organisasi. [Jika Anda memiliki kebutuhan bisnis untuk berbagi portofolio Service Catalog dengan akun eksternal, Anda dapat [secara otomatis menekan temuan](automation-rules.md) dari kontrol ini atau menonaktifkannya.](disable-controls-overview.md)

### Remediasi
<a name="servicecatalog-1-remediation"></a>

Untuk mengaktifkan berbagi portofolio dengan AWS Organizations, lihat [Berbagi dengan AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) di *Panduan AWS Service Catalog Administrator*.

# Kontrol CSPM Security Hub untuk Amazon SES
<a name="ses-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Email Service (Amazon SES).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SES.1] Daftar kontak SES harus ditandai
<a name="ses-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SES::ContactList`

**AWS Config aturan:** `tagged-ses-contactlist` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah daftar kontak Amazon SES memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika daftar kontak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika daftar kontak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ses-1-remediation"></a>

Untuk menambahkan tag ke daftar kontak Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.

## [SES.2] Set konfigurasi SES harus ditandai
<a name="ses-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SES::ConfigurationSet`

**AWS Config aturan:** `tagged-ses-configurationset` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah set konfigurasi Amazon SES memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika set konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika set konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="ses-2-remediation"></a>

Untuk menambahkan tag ke set konfigurasi Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.

## [SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
<a name="ses-3"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit 

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SES::ConfigurationSet`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah set konfigurasi Amazon SES memerlukan koneksi TLS. Kontrol gagal jika Kebijakan TLS tidak disetel ke `'REQUIRE'` set konfigurasi.

Secara default, Amazon SES menggunakan TLS oportunistik, yang berarti email dapat dikirim tanpa enkripsi jika koneksi TLS tidak dapat dibuat dengan server email penerima. Menegakkan TLS untuk pengiriman email memastikan bahwa pesan hanya terkirim ketika koneksi terenkripsi yang aman dapat dibuat. Ini membantu melindungi kerahasiaan dan integritas konten email selama transmisi antara Amazon SES dan server email penerima. Jika koneksi TLS aman tidak dapat dibuat, pesan tidak akan dikirimkan, mencegah potensi paparan informasi sensitif.

**catatan**  
Meskipun TLS 1.3 adalah metode pengiriman default untuk Amazon SES, tanpa menerapkan persyaratan TLS melalui set konfigurasi, pesan berpotensi dikirimkan dalam teks biasa jika koneksi TLS gagal. Untuk meneruskan kontrol ini, Anda harus mengonfigurasi Kebijakan TLS ke `'REQUIRE'` dalam opsi pengiriman set konfigurasi SES Anda. Ketika TLS diperlukan, pesan hanya dikirim jika koneksi TLS dapat dibuat dengan server email penerima.

### Remediasi
<a name="ses-3-remediation"></a>

Untuk mengonfigurasi Amazon SES agar memerlukan koneksi TLS untuk set konfigurasi, lihat [Amazon SES dan protokol keamanan](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) di Panduan Pengembang *Amazon SES.*

# Kontrol CSPM Security Hub untuk Amazon SNS
<a name="sns-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Notification Service (Amazon SNS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS
<a name="sns-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26), Nist.800-171.r2 3.13.11, Nist.800-171.r2 3.13.16

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah topik Amazon SNS dienkripsi saat istirahat menggunakan kunci yang dikelola di (). AWS Key Management Service AWS KMS Kontrol gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE). Secara default, SNS menyimpan pesan dan file menggunakan enkripsi disk. Untuk melewati kontrol ini, Anda harus memilih untuk menggunakan kunci KMS untuk enkripsi sebagai gantinya. Ini menambahkan lapisan keamanan tambahan dan memberikan lebih banyak fleksibilitas kontrol akses.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Kami merekomendasikan mengenkripsi topik SNS dengan kunci KMS untuk lapisan keamanan tambahan.

### Remediasi
<a name="sns-1-remediation"></a>

*Untuk mengaktifkan SSE untuk topik SNS, lihat [Mengaktifkan enkripsi sisi server (SSE) untuk topik Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html).* Sebelum Anda dapat menggunakan SSE, Anda juga harus mengonfigurasi AWS KMS key kebijakan untuk mengizinkan enkripsi topik dan enkripsi dan dekripsi pesan. Untuk informasi selengkapnya, lihat [Mengonfigurasi AWS KMS izin di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) *Pengembang Layanan Pemberitahuan Sederhana Amazon*.

## [SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik
<a name="sns-2"></a>

**penting**  
Security Hub CSPM menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).

**Persyaratan terkait:** Nist.800-53.r5 AU-12, Nist.800-53.r5 AU-2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah pencatatan diaktifkan untuk status pengiriman pesan notifikasi yang dikirim ke topik Amazon SNS untuk titik akhir. Kontrol ini gagal jika pemberitahuan status pengiriman pesan tidak diaktifkan.

Logging adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja layanan. Mencatat status pengiriman pesan membantu memberikan wawasan operasional, seperti berikut ini:
+ Mengetahui apakah pesan dikirim ke titik akhir Amazon SNS.
+ Mengidentifikasi respon yang dikirim dari titik akhir Amazon SNS ke Amazon SNS.
+ Menentukan waktu tinggal pesan (waktu antara stempel waktu publikasi dan penyerahan ke titik akhir Amazon SNS).

### Remediasi
<a name="sns-2-remediation"></a>

Untuk mengonfigurasi pencatatan status pengiriman untuk suatu topik, lihat [Status pengiriman pesan Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) *Pengembang Layanan Pemberitahuan Sederhana Amazon*.

## [SNS.3] Topik SNS harus ditandai
<a name="sns-3"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan:** `tagged-sns-topic` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah topik Amazon SNS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika topik tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika topik tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="sns-3-remediation"></a>

Untuk menambahkan tag ke topik SNS, lihat [Mengonfigurasi tag topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) di Panduan Pengembang Layanan *Pemberitahuan Sederhana Amazon*.

## [SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
<a name="sns-4"></a>

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SNS::Topic`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan akses topik Amazon SNS memungkinkan akses publik. Kontrol ini gagal jika kebijakan akses topik SNS mengizinkan akses publik.

Anda menggunakan kebijakan akses Amazon SNS dengan topik tertentu untuk membatasi siapa yang dapat bekerja dengan topik tersebut (misalnya, siapa yang dapat mempublikasikan pesan ke topik tersebut atau siapa yang dapat berlangganan). Kebijakan SNS dapat memberikan akses ke orang lain Akun AWS, atau ke pengguna di dalam milik Akun AWS Anda. Menyediakan wildcard (\$1) di `Principal` bidang kebijakan topik dan kurangnya kondisi untuk membatasi kebijakan topik dapat mengakibatkan eksfiltrasi data, penolakan layanan, atau injeksi pesan yang tidak diinginkan ke layanan Anda oleh penyerang.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan akses Amazon SNS untuk suatu topik hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak berisi karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="sns-4-remediation"></a>

Untuk memperbarui kebijakan akses untuk topik SNS, lihat [Ikhtisar mengelola akses di Amazon SNS di](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) Panduan Pengembang *Layanan Pemberitahuan Sederhana Amazon*.

# Kontrol CSPM Security Hub untuk Amazon SQS
<a name="sqs-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Queue Service (Amazon SQS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat
<a name="sqs-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan:** `sqs-queue-encrypted` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah antrian Amazon SQS dienkripsi saat istirahat. Kontrol gagal jika antrian tidak dienkripsi dengan kunci yang dikelola SQS (SSE-SQS) atau kunci () (SSE-KMS). AWS Key Management Service AWS KMS

Mengenkripsi data saat istirahat mengurangi risiko pengguna yang tidak sah mengakses data yang disimpan di disk. Enkripsi sisi server (SSE) melindungi isi pesan dalam antrian SQS menggunakan kunci enkripsi yang dikelola SQS (SSE-SQS) atau kunci (SSE-KMS). AWS KMS 

### Remediasi
<a name="sqs-1-remediation"></a>

*Untuk mengonfigurasi SSE untuk antrean SQS, lihat [Mengonfigurasi enkripsi sisi server (SSE) untuk antrian (konsol) di](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) Panduan Pengembang Layanan Antrian Sederhana Amazon.*

## [SQS.2] Antrian SQS harus ditandai
<a name="sqs-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan:** `tagged-sqs-queue` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah antrian Amazon SQS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika antrian tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antrian tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="sqs-2-remediation"></a>

*Untuk menambahkan tag ke antrean yang ada menggunakan konsol Amazon SQS, [lihat Mengonfigurasi tag alokasi biaya untuk antrean (konsol) Amazon SQS di Panduan Pengembang Layanan Antrian](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) Sederhana Amazon.*

## [SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
<a name="sqs-3"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SQS::Queue`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kebijakan akses Amazon SQS memungkinkan akses publik ke antrean SQS. Kontrol gagal jika kebijakan akses SQS mengizinkan akses publik ke antrian.

Kebijakan akses Amazon SQS dapat mengizinkan akses publik ke antrean SQS, yang memungkinkan pengguna anonim atau identitas AWS IAM yang diautentikasi untuk mengakses antrian. Kebijakan akses SQS biasanya menyediakan akses ini dengan menentukan karakter wildcard (`*`) dalam `Principal` elemen kebijakan, tidak menggunakan kondisi yang tepat untuk membatasi akses ke antrian, atau keduanya. Jika kebijakan akses SQS mengizinkan akses publik, pihak ketiga mungkin dapat melakukan tugas seperti menerima pesan dari antrian, mengirim pesan ke antrian, atau mengubah kebijakan akses untuk antrian. Hal ini dapat mengakibatkan peristiwa seperti eksfiltrasi data, penolakan layanan, atau injeksi pesan ke dalam antrian oleh aktor ancaman.

**catatan**  
Kontrol ini tidak mengevaluasi kondisi kebijakan yang menggunakan karakter atau variabel wildcard. Untuk menghasilkan `PASSED` temuan, kondisi dalam kebijakan akses Amazon SQS untuk antrian hanya boleh menggunakan nilai tetap, yaitu nilai yang tidak berisi karakter wildcard atau variabel kebijakan. Untuk informasi tentang variabel kebijakan, lihat [Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan AWS Identity and Access Management Pengguna*.

### Remediasi
<a name="sqs-3-remediation"></a>

Untuk informasi tentang mengonfigurasi kebijakan akses SQS untuk antrean SQS, lihat [Menggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS di Panduan Pengembang Layanan](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Antrian Sederhana *Amazon*.

# Kontrol CSPM Security Hub untuk Step Functions
<a name="stepfunctions-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Step Functions layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
<a name="stepfunctions-1"></a>

**Persyaratan terkait:** PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::StepFunctions::StateMachine`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  Tingkat logging minimum  |  Enum  |  `ALL, ERROR, FATAL`  |  Tidak ada nilai default  | 

Kontrol ini memeriksa apakah mesin AWS Step Functions status telah mengaktifkan pencatatan. Kontrol gagal jika mesin status tidak mengaktifkan logging. Jika Anda memberikan nilai khusus untuk `logLevel` parameter, kontrol hanya akan diteruskan jika mesin status mengaktifkan level logging yang ditentukan.

Pemantauan membantu Anda menjaga keandalan, ketersediaan, dan kinerja Step Functions. Anda harus mengumpulkan sebanyak mungkin data pemantauan dari Layanan AWS yang Anda gunakan sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik. Memiliki konfigurasi logging yang ditentukan untuk mesin status Step Functions memungkinkan Anda melacak riwayat eksekusi dan hasil di Amazon CloudWatch Logs. Secara opsional, Anda hanya dapat melacak kesalahan atau peristiwa fatal.

### Remediasi
<a name="stepfunctions-1-remediation"></a>

Untuk mengaktifkan logging untuk mesin status Step Functions, lihat [Mengkonfigurasi logging](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) di *Panduan AWS Step Functions Pengembang*.

## [StepFunctions.2] Aktivitas Step Functions harus diberi tag
<a name="stepfunctions-2"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::StepFunctions::Activity`

**AWS Config aturan:** `tagged-stepfunctions-activity` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  | Tidak ada nilai default  | 

Kontrol ini memeriksa apakah AWS Step Functions aktivitas memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika aktivitas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika aktivitas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="stepfunctions-2-remediation"></a>

Untuk menambahkan tag ke aktivitas Step Functions, lihat [Menandai di Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) di *Panduan AWS Step Functions Pengembang*.

# Kontrol CSPM Security Hub untuk Systems Manager
<a name="ssm-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya AWS Systems Manager (SSM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager
<a name="ssm-1"></a>

**Persyaratan terkait:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8),, NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3

**Kategori:** Identifikasi > Persediaan

**Tingkat keparahan:** Sedang

**Sumber daya yang dievaluasi:** `AWS::EC2::Instance`

**Sumber daya AWS Config perekaman yang diperlukan:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah instans EC2 yang berhenti dan berjalan di akun Anda dikelola oleh. AWS Systems Manager Systems Manager adalah Layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol AWS infrastruktur Anda.

Untuk membantu Anda menjaga keamanan dan kepatuhan, Systems Manager memindai instans terkelola yang berhenti dan berjalan. Sebuah instance terkelola adalah mesin yang dikonfigurasi untuk digunakan dengan Systems Manager. Systems Manager kemudian melaporkan atau mengambil tindakan korektif atas setiap pelanggaran kebijakan yang terdeteksi. Systems Manager juga membantu Anda mengkonfigurasi dan mempertahankan instans terkelola Anda. Untuk mempelajari selengkapnya, lihat [Panduan Pengguna AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).

**catatan**  
Kontrol ini menghasilkan `FAILED` temuan untuk instans EC2 yang merupakan instance Server AWS Elastic Disaster Recovery Replikasi yang dikelola oleh. AWS Instance Server Replikasi adalah Instans EC2 yang diluncurkan secara otomatis AWS Elastic Disaster Recovery untuk mendukung replikasi data berkelanjutan dari server sumber. AWS Sengaja menghapus Agen Systems Manager (SSM) dari instans ini untuk menjaga isolasi dan membantu mencegah potensi jalur akses yang tidak diinginkan.

### Remediasi
<a name="ssm-1-remediation"></a>

*Untuk informasi tentang mengelola instans EC2 dengan AWS Systems Manager, lihat manajemen [host Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) di AWS Systems Manager Panduan Pengguna.* Di bagian **Opsi konfigurasi** di AWS Systems Manager konsol, Anda dapat menyimpan pengaturan default atau mengubahnya seperlunya untuk konfigurasi pilihan Anda.

## [SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch
<a name="ssm-2"></a>

**Persyaratan terkait:** NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (3), Nist.800-53.R5 SI-2 (4), Nist.800-53.r5 SI-2 (5), NIST.800-53.R5 SI-2 (5), Nist.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategori:** Deteksi > Layanan deteksi 

**Tingkat keparahan:** Tinggi

**Jenis sumber daya:** `AWS::SSM::PatchCompliance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Systems Manager `COMPLIANT` atau `NON_COMPLIANT` setelah instalasi patch pada instance. Kontrol gagal jika status kepatuhan`NON_COMPLIANT`. Kontrol hanya memeriksa instance yang dikelola oleh Systems Manager Patch Manager.

Menambal instans EC2 Anda seperti yang dipersyaratkan oleh organisasi Anda mengurangi permukaan serangan Anda. Akun AWS

### Remediasi
<a name="ssm-2-remediation"></a>

Systems Manager merekomendasikan penggunaan [kebijakan tambalan](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) untuk mengonfigurasi patching untuk instans terkelola Anda. Anda juga dapat menggunakan [dokumen Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), seperti yang dijelaskan dalam prosedur berikut, untuk menambal instance.

**Untuk memulihkan tambalan yang tidak sesuai**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Untuk **Node Management**, pilih **Run Command**, dan kemudian pilih **Run command**.

1. Pilih opsi untuk **AWS- RunPatchBaseline**.

1. Ubah **Operasi** untuk **Menginstal**.

1. **Pilih instans secara manual**, lalu pilih instans yang tidak sesuai.

1. Pilih **Jalankan**.

1. Setelah perintah selesai, untuk memantau status kepatuhan baru dari instance yang ditambal, pilih **Kepatuhan** di panel navigasi.

## [SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT
<a name="ssm-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), Nist.800-53.r5 CM-8, Nist.800-53.r5 CM-8 (1), Nist.800-53.R5 CM-8 (3), Nist.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

**Kategori:** Deteksi > Layanan deteksi

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SSM::AssociationCompliance`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah status kepatuhan AWS Systems Manager asosiasi `COMPLIANT` atau `NON_COMPLIANT` setelah asosiasi dijalankan pada sebuah instance. Kontrol gagal jika status kepatuhan asosiasi`NON_COMPLIANT`.

Asosiasi State Manager adalah konfigurasi yang ditetapkan untuk instans terkelola Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup. 

Setelah Anda membuat satu atau beberapa asosiasi Manajer Negara, informasi status kepatuhan segera tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap AWS CLI perintah atau tindakan API Systems Manager terkait. Untuk asosiasi, Kepatuhan Konfigurasi menunjukkan status kepatuhan (`Compliant`atau`Non-compliant`). Ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti `Critical` atau`Medium`.

Untuk mempelajari lebih lanjut tentang kepatuhan asosiasi Manajer [Negara, lihat Tentang kepatuhan asosiasi Manajer Negara](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) di *Panduan AWS Systems Manager Pengguna*.

### Remediasi
<a name="ssm-3-remediation"></a>

Asosiasi yang gagal dapat dikaitkan dengan hal-hal yang berbeda, termasuk target dan nama dokumen Systems Manager. Untuk mengatasi masalah ini, Anda harus terlebih dahulu mengidentifikasi dan menyelidiki asosiasi dengan melihat riwayat asosiasi. Untuk petunjuk tentang melihat riwayat asosiasi, lihat [Melihat riwayat asosiasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) di *Panduan AWS Systems Manager Pengguna*.

Setelah menyelidiki, Anda dapat mengedit asosiasi untuk memperbaiki masalah yang diidentifikasi. Anda dapat mengedit asosiasi untuk menentukan nama, jadwal, tingkat keparahan, atau target baru. Setelah Anda mengedit asosiasi, AWS Systems Manager buat versi baru. Untuk petunjuk tentang mengedit asosiasi, lihat [Mengedit dan membuat versi baru asosiasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) di *Panduan AWS Systems Manager Pengguna*.

## [SSM.4] Dokumen SSM seharusnya tidak bersifat publik
<a name="ssm-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::SSM::Document`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Systems Manager dokumen yang dimiliki oleh akun bersifat publik. Kontrol gagal jika dokumen Systems Manager yang memiliki `Self` sebagai pemilik bersifat publik.

Dokumen Systems Manager yang bersifat publik mungkin memungkinkan akses yang tidak diinginkan ke dokumen Anda. Dokumen Systems Manager publik dapat mengekspos informasi berharga tentang akun, sumber daya, dan proses internal Anda.

Kecuali kasus penggunaan Anda memerlukan berbagi publik, kami menyarankan Anda memblokir berbagi publik untuk dokumen Systems Manager yang memiliki `Self` sebagai pemilik.

### Remediasi
<a name="ssm-4-remediation"></a>

Untuk informasi tentang mengonfigurasi berbagi untuk dokumen Systems Manager, lihat [Membagikan dokumen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) di *AWS Systems Manager Panduan Pengguna*.

## [SSM.5] Dokumen SSM harus diberi tag
<a name="ssm-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::SSM::Document`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Systems Manager dokumen memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika dokumen tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dokumen tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol tidak mengevaluasi dokumen Systems Manager yang dimiliki oleh Amazon.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="ssm-5-remediation"></a>

Untuk menambahkan tag ke AWS Systems Manager dokumen, Anda dapat menggunakan [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operasi AWS Systems Manager API atau, jika Anda menggunakan AWS CLI, jalankan [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)perintah. Anda juga dapat menggunakan AWS Systems Manager konsol.

## [SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch
<a name="ssm-6"></a>

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk Otomasi AWS Systems Manager (SSM). Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk SSM Automation.

SSM Automation adalah AWS Systems Manager alat yang membantu Anda membangun solusi otomatis untuk menyebarkan, mengonfigurasi, dan mengelola AWS sumber daya dalam skala besar menggunakan runbook yang telah ditentukan atau kustom. Untuk memenuhi persyaratan operasional atau keamanan untuk organisasi Anda, Anda mungkin perlu memberikan catatan skrip yang dijalankannya. Anda dapat mengonfigurasi SSM Automation untuk mengirim output dari `aws:executeScript` tindakan di runbook ke grup CloudWatch log Amazon Logs yang Anda tentukan. Dengan CloudWatch Log, Anda dapat memantau, menyimpan, dan mengakses file log dari berbagai file Layanan AWS.

### Remediasi
<a name="ssm-6-remediation"></a>

Untuk informasi tentang mengaktifkan CloudWatch logging untuk Otomasi SSM, lihat [Keluaran tindakan Otomasi Pencatatan dengan CloudWatch Log](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) di *AWS Systems Manager Panduan Pengguna*.

## [SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok
<a name="ssm-7"></a>

**Kategori:** Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

**Tingkat keparahan:** Kritis

**Jenis sumber daya:** `AWS::::Account`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah setelan blok berbagi publik diaktifkan untuk AWS Systems Manager dokumen. Kontrol gagal jika setelan blok berbagi publik dinonaktifkan untuk dokumen Systems Manager.

Pengaturan blok berbagi publik untuk dokumen AWS Systems Manager (SSM) adalah pengaturan tingkat akun. Mengaktifkan pengaturan ini dapat mencegah akses yang tidak diinginkan ke dokumen SSM Anda. Jika Anda mengaktifkan setelan ini, perubahan Anda tidak memengaruhi dokumen SSM apa pun yang saat ini Anda bagikan dengan publik. Kecuali kasus penggunaan Anda mengharuskan Anda untuk berbagi dokumen SSM dengan publik, kami sarankan Anda mengaktifkan pengaturan blokir berbagi publik. Pengaturan dapat berbeda untuk masing-masing Wilayah AWS.

### Remediasi
<a name="ssm-7-remediation"></a>

*Untuk informasi tentang mengaktifkan setelan blokir berbagi publik untuk dokumen AWS Systems Manager (SSM), lihat [Memblokir berbagi publik untuk dokumen SSM di Panduan](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) Pengguna.AWS Systems Manager *

# Kontrol CSPM Security Hub untuk AWS Transfer Family
<a name="transfer-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Transfer Family layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [Transfer.1] AWS Transfer Family alur kerja harus ditandai
<a name="transfer-1"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Workflow`

**AWS Config aturan:** `tagged-transfer-workflow` (aturan CSPM Security Hub kustom)

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.  | StringList (maksimal 6 item)  | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  No default value  | 

Kontrol ini memeriksa apakah AWS Transfer Family alur kerja memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika alur kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.

**catatan**  
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*

### Remediasi
<a name="transfer-1-remediation"></a>

**Untuk menambahkan tag ke alur kerja Transfer Family (konsol)**

1. Buka AWS Transfer Family konsol.

1. Di panel navigasi, pilih **Alur Kerja**. Kemudian, pilih alur kerja yang ingin Anda tag.

1. Pilih **Kelola tag**, lalu tambahkan tag.

## [Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
<a name="transfer-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Transfer::Server`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS Transfer Family server menggunakan protokol selain FTP untuk koneksi endpoint. Kontrol gagal jika server menggunakan protokol FTP untuk klien untuk terhubung ke endpoint server.

FTP (File Transfer Protocol) menetapkan koneksi titik akhir melalui saluran yang tidak terenkripsi, meninggalkan data yang dikirim melalui saluran ini rentan terhadap intersepsi. Menggunakan SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure), atau AS2 (Applicability Statement 2) menawarkan lapisan keamanan ekstra dengan mengenkripsi data Anda dalam perjalanan dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan.

### Remediasi
<a name="transfer-2-remediation"></a>

Untuk mengubah protokol server Transfer Family, lihat [Mengedit protokol transfer file](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) di *AWS Transfer Family Panduan Pengguna*.

## [Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
<a name="transfer-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-4, Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::Transfer::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk AWS Transfer Family konektor. Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk konektor.

Amazon CloudWatch adalah layanan pemantauan dan observabilitas yang memberikan visibilitas ke AWS sumber daya Anda, termasuk AWS Transfer Family sumber daya. Untuk Transfer Family, CloudWatch menyediakan audit dan pencatatan terkonsolidasi untuk kemajuan dan hasil alur kerja. Ini mencakup beberapa metrik yang didefinisikan Transfer Family untuk alur kerja. Anda dapat mengonfigurasi Transfer Family untuk secara otomatis mencatat peristiwa konektor CloudWatch. Untuk melakukan ini, Anda menentukan peran logging untuk konektor. Untuk peran logging, Anda membuat peran IAM dan kebijakan IAM berbasis sumber daya yang menentukan izin untuk peran tersebut.

### Remediasi
<a name="transfer-3-remediation"></a>

Untuk informasi tentang mengaktifkan CloudWatch logging untuk konektor Transfer Family, lihat [Amazon CloudWatch logging untuk AWS Transfer Family server](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) di *Panduan AWS Transfer Family Pengguna*.

## [Transfer.4] Perjanjian Transfer Family harus ditandai
<a name="transfer-4"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Agreement`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family perjanjian memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika perjanjian tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika perjanjian tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-4-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family perjanjian, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.5] Sertifikat Transfer Family harus diberi tag
<a name="transfer-5"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Certificate`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family sertifikat memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika sertifikat tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-5-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family sertifikat, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.6] Konektor Transfer Family harus diberi tag
<a name="transfer-6"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Connector`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family konektor memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konektor tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konektor tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-6-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family konektor, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.

## [Transfer.7] Profil Transfer Family harus diberi tag
<a name="transfer-7"></a>

**Kategori:** Identifikasi > Inventaris > Penandaan

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::Transfer::Profile`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:**


| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default | 

Kontrol ini memeriksa apakah AWS Transfer Family profil memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika profil tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol mengevaluasi profil lokal dan profil mitra.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

**catatan**  
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

### Remediasi
<a name="transfer-7-remediation"></a>

Untuk informasi tentang menambahkan tag ke AWS Transfer Family profil, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Tag dan Editor Tag*.

# Kontrol CSPM Security Hub untuk AWS WAF
<a name="waf-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi AWS WAF layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan
<a name="waf-1"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)**

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk ACL web AWS WAF global. Kontrol ini gagal jika logging tidak diaktifkan untuk ACL web.

Logging adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS WAF global. Ini adalah persyaratan bisnis dan kepatuhan di banyak organisasi, dan memungkinkan Anda memecahkan masalah perilaku aplikasi. Ini juga memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web yang dilampirkan AWS WAF.

### Remediasi
<a name="waf-1-remediation"></a>

Untuk mengaktifkan pencatatan untuk ACL AWS WAF web, lihat [Mencatat informasi lalu lintas ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) di Panduan *AWS WAF Pengembang*.

## [WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat
<a name="waf-2"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::Rule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah aturan AWS WAF Regional memiliki setidaknya satu syarat. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.

Aturan Regional WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan Regional WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-2-remediation"></a>

Untuk menambahkan kondisi ke aturan kosong, lihat [Menambahkan dan menghapus kondisi dalam aturan](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) di *Panduan AWS WAF Pengembang*.

## [WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan
<a name="waf-3"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah kelompok aturan AWS WAF Regional memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan Regional WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Kelompok aturan Regional WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-3-remediation"></a>

Untuk menambahkan aturan dan ketentuan aturan ke grup aturan kosong, lihat [Menambahkan dan menghapus aturan dari grup aturan AWS WAF Klasik](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) serta [Menambahkan dan menghapus kondisi dalam aturan](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) di *Panduan AWS WAF Pengembang*.

## [WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-4"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFRegional::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ACL AWS WAF Classic Regional web berisi aturan WAF atau grup aturan WAF. Kontrol ini gagal jika ACL web tidak berisi aturan WAF atau grup aturan.

ACL web Regional WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-4-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL web Regional AWS WAF Klasik kosong, lihat [Mengedit ACL Web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) *Pengembang*.

## [WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat
<a name="waf-6"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::Rule`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah aturan AWS WAF global berisi kondisi apa pun. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.

Aturan global WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan global WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-6-remediation"></a>

Untuk petunjuk cara membuat aturan dan menambahkan kondisi, lihat [Membuat aturan dan menambahkan kondisi](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) di *Panduan AWS WAF Pengembang*.

## [WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan
<a name="waf-7"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah grup aturan AWS WAF global memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.

Grup aturan global WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Grup aturan global WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.

### Remediasi
<a name="waf-7-remediation"></a>

Untuk petunjuk cara menambahkan aturan ke grup aturan, lihat [Membuat grup aturan AWS WAF Klasik](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) di *Panduan AWS WAF Pengembang*.

## [WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-8"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAF::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah ACL web AWS WAF global berisi setidaknya satu aturan WAF atau grup aturan WAF. Kontrol gagal jika ACL web tidak berisi aturan WAF atau grup aturan.

ACL web global WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-8-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL web AWS WAF global yang kosong, lihat [Mengedit ACL web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) *Pengembang*. Untuk **Filter**, pilih **Global (CloudFront)**.

## [WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
<a name="waf-10"></a>

**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2

**Kategori:** Lindungi > Konfigurasi jaringan aman

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFv2::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah daftar kontrol akses web AWS WAF V2 (web ACL) berisi setidaknya satu aturan atau grup aturan. Kontrol gagal jika ACL web tidak berisi aturan atau grup aturan apa pun.

ACL web memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya Anda yang dilindungi. ACL web harus berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti dengan AWS WAF tergantung pada tindakan default.

### Remediasi
<a name="waf-10-remediation"></a>

Untuk menambahkan aturan atau grup aturan ke ACL WAFV2 web kosong, lihat [Mengedit ACL Web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) *Pengembang*.

## [WAF.11] pencatatan ACL AWS WAF web harus diaktifkan
<a name="waf-11"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Rendah

**Jenis sumber daya:** `AWS::WAFv2::WebACL`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**Jenis jadwal:** Periodik

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah logging diaktifkan untuk daftar kontrol akses web AWS WAF V2 (web ACL). Kontrol ini gagal jika logging dinonaktifkan untuk ACL web.

**catatan**  
Kontrol ini tidak memeriksa apakah pencatatan ACL AWS WAF web diaktifkan untuk akun melalui Amazon Security Lake.

Logging mempertahankan keandalan, ketersediaan, dan kinerja AWS WAF. Selain itu, penebangan adalah persyaratan bisnis dan kepatuhan di banyak organisasi. Dengan mencatat lalu lintas yang dianalisis oleh ACL web Anda, Anda dapat memecahkan masalah perilaku aplikasi.

### Remediasi
<a name="waf-11-remediation"></a>

Untuk mengaktifkan logging untuk ACL AWS WAF web, lihat [Mengelola logging untuk ACL web di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) *Pengembang*.

## AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch
<a name="waf-12"></a>

**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), Nist.800-171.R2 3.14.6, Nist.800-171.R2 3.14.7

**Kategori:** Identifikasi > Logging

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WAFv2::RuleGroup`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah AWS WAF aturan atau grup aturan mengaktifkan CloudWatch metrik Amazon. Kontrol gagal jika aturan atau grup aturan tidak mengaktifkan CloudWatch metrik.

Mengkonfigurasi CloudWatch metrik pada AWS WAF aturan dan grup aturan memberikan visibilitas ke arus lalu lintas. Anda dapat melihat aturan ACL mana yang dipicu dan permintaan mana yang diterima dan diblokir. Visibilitas ini dapat membantu Anda mengidentifikasi aktivitas berbahaya pada sumber daya terkait.

### Remediasi
<a name="waf-12-remediation"></a>

Untuk mengaktifkan CloudWatch metrik pada grup AWS WAF aturan, panggil API. [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html) Untuk mengaktifkan CloudWatch metrik pada AWS WAF aturan, panggil [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API. Atur `CloudWatchMetricsEnabled` bidang ke`true`. Saat Anda menggunakan AWS WAF konsol untuk membuat aturan atau grup aturan, CloudWatch metrik diaktifkan secara otomatis.

# Kontrol CSPM Security Hub untuk WorkSpaces
<a name="workspaces-controls"></a>

 AWS Security Hub CSPM Kontrol ini mengevaluasi WorkSpaces layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).

## [WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
<a name="workspaces-1"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WorkSpaces::Workspace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume pengguna di Amazon WorkSpaces WorkSpace dienkripsi saat istirahat. Kontrol gagal jika volume WorkSpace pengguna tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="workspaces-1-remediation"></a>

Untuk mengenkripsi volume WorkSpaces pengguna, lihat [Mengenkripsi WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) di Panduan * WorkSpaces Administrasi Amazon*.

## [WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
<a name="workspaces-2"></a>

**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest

**Tingkat keparahan:** Sedang

**Jenis sumber daya:** `AWS::WorkSpaces::Workspace`

**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)**

**Jenis jadwal:** Perubahan dipicu

**Parameter:** Tidak ada

Kontrol ini memeriksa apakah volume root di Amazon WorkSpaces WorkSpace dienkripsi saat istirahat. Kontrol gagal jika volume WorkSpace root tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

### Remediasi
<a name="workspaces-2-remediation"></a>

Untuk mengenkripsi volume WorkSpaces root, lihat [Mengenkripsi a WorkSpace di Panduan WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) *Administrasi Amazon*.

# Izin yang diperlukan untuk mengonfigurasi kontrol di Security Hub CSPM
<a name="iam-permissions-controls-standards"></a>

Untuk melihat informasi tentang kontrol keamanan dan mengaktifkan serta menonaktifkan kontrol keamanan dalam standar, peran AWS Identity and Access Management (IAM) yang Anda gunakan untuk mengakses CSPM AWS Security Hub memerlukan izin untuk memanggil operasi CSPM API Security Hub berikut ini.

Untuk mendapatkan izin yang diperlukan, Anda dapat menggunakan kebijakan terkelola [CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html). Atau, Anda dapat memperbarui kebijakan IAM khusus untuk menyertakan izin untuk tindakan ini.
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Mengembalikan informasi tentang sekumpulan kontrol keamanan untuk akun saat ini dan Wilayah AWS. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**— Mengembalikan informasi tentang kontrol keamanan yang berlaku untuk standar tertentu. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**— Mengidentifikasi apakah kontrol keamanan saat ini diaktifkan atau dinonaktifkan dari setiap standar yang diaktifkan di akun. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**— Untuk sekumpulan kontrol keamanan, identifikasi apakah setiap kontrol saat ini diaktifkan atau dinonaktifkan dari standar yang ditentukan. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Digunakan untuk mengaktifkan kontrol keamanan dalam standar yang mencakup kontrol, atau untuk menonaktifkan kontrol dalam standar. Ini adalah pengganti batch untuk [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operasi yang ada. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Digunakan untuk mengaktifkan atau menonaktifkan sekumpulan kontrol keamanan dalam standar yang mencakup kontrol. Ini adalah pengganti batch untuk [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operasi yang ada. 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**— Digunakan untuk mengaktifkan atau menonaktifkan kontrol keamanan tunggal dalam standar yang mencakup kontrol 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**— Mengembalikan rincian tentang kontrol keamanan tertentu.

Selain yang sebelumnya APIs, Anda harus menambahkan izin untuk menelepon `BatchGetControlEvaluations` ke peran IAM Anda. Izin ini diperlukan untuk melihat status pemberdayaan dan kepatuhan kontrol, jumlah temuan untuk kontrol, dan skor keamanan keseluruhan untuk kontrol pada konsol CSPM Security Hub. Karena hanya panggilan konsol`BatchGetControlEvaluations`, izin ini tidak secara langsung sesuai dengan CSPM APIs atau perintah Security Hub yang didokumentasikan secara publik. AWS CLI 

# Mengaktifkan kontrol di Security Hub CSPM
<a name="securityhub-standards-enable-disable-controls"></a>

Dalam AWS Security Hub CSPM, kontrol adalah perlindungan dalam standar keamanan yang membantu organisasi melindungi kerahasiaan, integritas, dan ketersediaan informasinya. Setiap kontrol CSPM Security Hub terkait dengan sumber daya tertentu AWS . Ketika Anda mengaktifkan kontrol, Security Hub CSPM mulai menjalankan pemeriksaan keamanan untuk kontrol dan menghasilkan temuan untuk itu. Security Hub CSPM juga mempertimbangkan semua kontrol yang diaktifkan saat menghitung skor keamanan.

Anda dapat memilih untuk mengaktifkan kontrol di semua standar keamanan yang berlaku. Atau, Anda dapat mengonfigurasi status pemberdayaan secara berbeda dalam standar yang berbeda. Kami merekomendasikan opsi sebelumnya, di mana status pemberdayaan kontrol disejajarkan di semua standar yang Anda aktifkan. Untuk petunjuk tentang mengaktifkan kontrol di semua standar yang diterapkan, lihat[Mengaktifkan kontrol lintas standar](enable-controls-overview.md). Untuk petunjuk tentang mengaktifkan kontrol dalam standar tertentu, lihat[Mengaktifkan kontrol dalam standar tertentu](controls-configure.md).

Jika Anda mengaktifkan agregasi lintas wilayah dan masuk ke Wilayah agregasi, konsol CSPM Security Hub menampilkan kontrol yang tersedia di setidaknya satu Wilayah tertaut. Jika kontrol tersedia di Wilayah tertaut tetapi tidak di Wilayah agregasi, Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah agregasi.

Anda dapat mengaktifkan dan menonaktifkan kontrol di setiap Wilayah dengan menggunakan konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI

[Petunjuk untuk mengaktifkan dan menonaktifkan kontrol bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak.](central-configuration-intro.md) Topik ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub CSPM dan. AWS Organizations Sebaiknya gunakan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan kontrol di lingkungan multi-akun dan Multi-wilayah. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan kontrol di beberapa akun dan Wilayah melalui penggunaan kebijakan konfigurasi. Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengaktifkan kontrol secara terpisah di setiap Wilayah dan akun.

# Mengaktifkan kontrol lintas standar
<a name="enable-controls-overview"></a>

Sebaiknya aktifkan kontrol CSPM AWS Security Hub di semua standar yang berlaku untuk kontrol tersebut. Jika Anda mengaktifkan temuan kontrol konsolidasi, Anda menerima satu temuan per pemeriksaan kontrol bahkan jika kontrol milik lebih dari satu standar.

## Pemberdayaan lintas standar di lingkungan multi-akun, Multi-wilayah
<a name="enable-controls-all-standards-central-configuration"></a>

[Untuk mengaktifkan kontrol keamanan di beberapa Akun AWS dan Wilayah AWS, Anda harus masuk ke akun administrator CSPM Security Hub yang didelegasikan dan menggunakan konfigurasi pusat.](central-configuration-intro.md)

Di bawah konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang mengaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk mengaktifkan semua kontrol dalam satu OU, dan Anda dapat memilih untuk mengaktifkan hanya kontrol Amazon Elastic Compute Cloud (EC2) di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan kontrol tertentu di seluruh standar, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**catatan**  
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar [yang Dikelola Layanan](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Kontrol untuk standar ini harus dikonfigurasi dalam AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

## Pemberdayaan lintas standar dalam satu akun dan Wilayah
<a name="enable-controls-all-standards"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan kontrol dalam satu akun dan Wilayah.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Kontrol** dari panel navigasi.

1. Pilih tab **Dinonaktifkan**.

1. Pilih opsi di sebelah kontrol.

1. Pilih **Aktifkan Kontrol** (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan).

1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Berikan ID kontrol keamanan.

   **Contoh permintaan:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Berikan Nama Sumber Daya Amazon (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standar ARNs, jalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Atur `AssociationStatus` parameter sama dengan`ENABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, API akan mengembalikan respons kode status HTTP 200.

   **Contoh permintaan:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

------
#### [ AWS CLI ]

**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Berikan ID kontrol keamanan.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Berikan Nama Sumber Daya Amazon (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standar ARNs, jalankan `describe-standards` perintah.

1. Atur `AssociationStatus` parameter sama dengan`ENABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

------

# Mengaktifkan kontrol dalam standar tertentu
<a name="controls-configure"></a>

Bila Anda mengaktifkan standar di AWS Security Hub CSPM, semua kontrol yang berlaku untuk itu secara otomatis diaktifkan dalam standar tersebut (pengecualian untuk ini adalah standar yang dikelola layanan). Anda kemudian dapat menonaktifkan dan mengaktifkan kembali kontrol tertentu dalam standar. Namun, kami menyarankan untuk menyelaraskan status pemberdayaan kontrol di semua standar yang Anda aktifkan. Untuk petunjuk tentang mengaktifkan kontrol di semua standar, lihat[Mengaktifkan kontrol lintas standar](enable-controls-overview.md).

Halaman detail untuk standar berisi daftar kontrol yang berlaku untuk standar, dan informasi tentang kontrol mana yang saat ini diaktifkan dan dinonaktifkan dalam standar tersebut.

Pada halaman detail standar, Anda juga dapat mengaktifkan kontrol dalam standar tertentu. Anda harus mengaktifkan kontrol dalam standar tertentu secara terpisah di masing-masing Akun AWS dan Wilayah AWS. Ketika Anda mengaktifkan kontrol dalam standar tertentu, itu hanya memengaruhi akun saat ini dan Wilayah.

Untuk mengaktifkan kontrol dalam standar, Anda harus terlebih dahulu mengaktifkan setidaknya satu standar yang berlaku kontrol. Untuk petunjuk tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Ketika Anda mengaktifkan kontrol dalam satu atau beberapa standar, Security Hub CSPM mulai menghasilkan temuan untuk kontrol tersebut. Security Hub CSPM mencakup [status kontrol](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) dalam perhitungan skor keamanan keseluruhan dan skor keamanan standar. Bahkan jika Anda mengaktifkan kontrol dalam beberapa standar, Anda akan menerima satu temuan per pemeriksaan keamanan di seluruh standar jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi lebih lanjut, lihat [Temuan kontrol konsolidasi](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Untuk mengaktifkan kontrol dalam standar, kontrol harus tersedia di Wilayah Anda saat ini. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol menurut Wilayah](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Ikuti langkah-langkah ini untuk mengaktifkan kontrol CSPM Security Hub dalam standar *tertentu*. Sebagai pengganti langkah-langkah berikut, Anda juga dapat menggunakan tindakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API untuk mengaktifkan kontrol dalam standar tertentu. Untuk petunjuk tentang mengaktifkan kontrol di *semua* standar, lihat[Pemberdayaan lintas standar dalam satu akun dan Wilayah](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan kontrol dalam standar tertentu**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Standar keamanan** dari panel navigasi.

1. Pilih **Lihat hasil** untuk standar yang relevan.

1. Pilih kontrol.

1. Pilih **Aktifkan Kontrol** (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan). Konfirmasikan dengan memilih **Aktifkan**.

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan kontrol dalam standar tertentu**

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) API ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   **Contoh permintaan:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   **Contoh permintaan:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Jalankan `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.

1. Atur `AssociationStatus` parameter sama dengan`ENABLED`.

   **Contoh permintaan:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Untuk mengaktifkan kontrol dalam standar tertentu**

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. `describe-standards` Perintah ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Jalankan perintah `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.

1. Atur `AssociationStatus` parameter sama dengan`ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Mengaktifkan kontrol baru dalam standar yang diaktifkan secara otomatis
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM secara teratur merilis kontrol baru dan menambahkannya ke satu atau lebih standar. Anda dapat memilih apakah akan mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.

Sebaiknya gunakan konfigurasi pusat CSPM Security Hub untuk mengaktifkan kontrol keamanan baru secara otomatis. Anda dapat membuat kebijakan konfigurasi yang menyertakan daftar kontrol yang akan dinonaktifkan di seluruh standar. Semua kontrol lainnya, termasuk yang baru dirilis, diaktifkan secara default. Atau, Anda dapat membuat kebijakan yang menyertakan daftar kontrol yang akan diaktifkan di seluruh standar. Semua kontrol lainnya, termasuk yang baru dirilis, dinonaktifkan secara default. Untuk informasi selengkapnya, lihat [Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Security Hub CSPM tidak mengaktifkan kontrol baru saat ditambahkan ke standar yang belum Anda aktifkan.

Petunjuk berikut hanya berlaku jika Anda tidak menggunakan konfigurasi pusat.

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.

**catatan**  
Saat Anda mengaktifkan kontrol baru secara otomatis menggunakan petunjuk berikut, Anda dapat berinteraksi dengan kontrol di konsol dan secara terprogram segera setelah rilis. Namun, kontrol yang diaktifkan secara otomatis memiliki status default sementara **Dinonaktifkan**. Diperlukan waktu hingga beberapa hari untuk Security Hub CSPM untuk memproses rilis kontrol dan menetapkan kontrol sebagai **Diaktifkan** di akun Anda. Selama periode pemrosesan, Anda dapat mengaktifkan atau menonaktifkan kontrol secara manual, dan Security Hub CSPM akan mempertahankan penunjukan itu terlepas dari apakah Anda mengaktifkan kontrol otomatis diaktifkan.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan kontrol baru secara otomatis**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Pengaturan**, lalu pilih tab **Umum**.

1. Di bawah **Kontrol**, pilih **Edit**.

1. Aktifkan **Aktifkan otomatis kontrol baru dalam standar yang diaktifkan**.

1. Pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

**Untuk mengaktifkan kontrol baru secara otomatis**

1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, setel `AutoEnableControls` ke`true`. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, setel `AutoEnableControls` ke false.

------
#### [ AWS CLI ]

**Untuk mengaktifkan kontrol baru secara otomatis**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, tentukan`--auto-enable-controls`. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, tentukan`--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Contoh perintah**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Jika Anda tidak secara otomatis mengaktifkan kontrol baru, maka Anda harus mengaktifkannya secara manual. Untuk petunjuk, lihat [Mengaktifkan kontrol di Security Hub CSPM](securityhub-standards-enable-disable-controls.md).

# Menonaktifkan kontrol di Security Hub CSPM
<a name="disable-controls-overview"></a>

Untuk mengurangi kebisingan temuan, akan sangat membantu untuk menonaktifkan kontrol yang tidak relevan dengan lingkungan Anda. Di AWS Security Hub CSPM, Anda dapat menonaktifkan kontrol di semua standar keamanan atau hanya untuk standar tertentu. 

Jika Anda menonaktifkan kontrol di semua standar, hal berikut terjadi:
+ Pemeriksaan keamanan untuk kontrol tidak lagi dilakukan.
+ Tidak ada temuan tambahan yang dihasilkan untuk kontrol.
+ Temuan yang ada tidak lagi diperbarui untuk kontrol.
+ Temuan yang ada untuk kontrol diarsipkan secara otomatis, biasanya dalam 3-5 hari dengan upaya terbaik.
+ Security Hub CSPM menghapus AWS Config aturan terkait yang dibuat untuk kontrol.

Jika Anda menonaktifkan kontrol hanya untuk standar tertentu, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan untuk kontrol hanya untuk standar tersebut. Ini juga menghilangkan kontrol [dari perhitungan skor keamanan](standards-security-score.md) untuk masing-masing standar tersebut. Jika kontrol diaktifkan dalam standar lain, Security Hub CSPM mempertahankan AWS Config aturan terkait, jika berlaku, dan terus menjalankan pemeriksaan keamanan untuk kontrol untuk standar lainnya. Security Hub CSPM juga menyertakan kontrol saat menghitung skor keamanan untuk masing-masing standar lainnya, yang memengaruhi skor keamanan ringkasan Anda.

Jika Anda menonaktifkan standar, semua kontrol yang berlaku untuk standar dinonaktifkan secara otomatis untuk standar itu. Namun, kontrol mungkin terus diaktifkan dalam standar lain. Saat Anda menonaktifkan standar, Security Hub CSPM tidak melacak kontrol mana yang dinonaktifkan untuk standar tersebut. Akibatnya, jika nanti Anda mengaktifkan kembali standar yang sama, semua kontrol yang berlaku padanya diaktifkan secara otomatis. Untuk informasi tentang menonaktifkan standar, lihat. [Menonaktifkan standar](disable-standards.md)

Menonaktifkan kontrol bukanlah tindakan permanen. Misalkan Anda menonaktifkan kontrol, dan kemudian mengaktifkan standar yang mencakup kontrol. Kontrol kemudian diaktifkan untuk standar itu. Ketika Anda mengaktifkan standar di Security Hub CSPM, semua kontrol yang berlaku untuk standar diaktifkan secara otomatis. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar](enable-standards.md).

**Topics**
+ [Menonaktifkan kontrol lintas standar](disable-controls-across-standards.md)
+ [Menonaktifkan kontrol dalam standar tertentu](disable-controls-standard.md)
+ [Kontrol yang disarankan untuk menonaktifkan](controls-to-disable.md)

# Menonaktifkan kontrol lintas standar
<a name="disable-controls-across-standards"></a>

Sebaiknya nonaktifkan kontrol CSPM AWS Security Hub di seluruh standar untuk menjaga keselarasan di seluruh organisasi Anda. Jika Anda menonaktifkan kontrol hanya dalam standar tertentu, Anda terus menerima temuan untuk kontrol jika diaktifkan dalam standar lain.

## Penonaktifan lintas standar di beberapa akun dan Wilayah
<a name="disable-controls-all-standards-central-configuration"></a>

Untuk menonaktifkan kontrol keamanan di beberapa Akun AWS dan Wilayah AWS, Anda harus menggunakan [konfigurasi pusat](central-configuration-intro.md).

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu OUs,, atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk menonaktifkan semua AWS CloudTrail kontrol dalam satu OU, dan Anda dapat memilih untuk menonaktifkan semua kontrol IAM di OU lain. Tingkat granularitas tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan kontrol tertentu di seluruh standar, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**catatan**  
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar [yang Dikelola Layanan](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Kontrol untuk standar ini harus dikonfigurasi dalam AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

## Penonaktifan lintas standar dalam satu akun dan Wilayah
<a name="disable-controls-all-standards"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menonaktifkan kontrol dalam satu akun dan Wilayah.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Kontrol** dari panel navigasi.

1. Pilih opsi di sebelah kontrol.

1. Pilih **Nonaktifkan Kontrol**. Opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan.

1. **Pilih alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.**

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Berikan ID kontrol keamanan.

   **Permintaan contoh:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Berikan ARN dari standar apa pun tempat kontrol diaktifkan. Untuk mendapatkan standar ARNs, jalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, API akan mengembalikan respons kode status HTTP 200.

   **Permintaan contoh:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------
#### [ AWS CLI ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Berikan ID kontrol keamanan.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Berikan ARN dari standar apa pun tempat kontrol diaktifkan. Untuk mendapatkan standar ARNs, jalankan `describe-standards` perintah.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------

# Menonaktifkan kontrol dalam standar tertentu
<a name="disable-controls-standard"></a>

Anda dapat menonaktifkan kontrol hanya dalam standar keamanan tertentu, bukan di semua standar. Jika kontrol berlaku untuk standar lain yang diaktifkan, AWS Security Hub CSPM terus menjalankan pemeriksaan keamanan untuk kontrol dan Anda terus menerima temuan untuk kontrol.

Kami merekomendasikan untuk menyelaraskan status pemberdayaan kontrol di semua standar yang diaktifkan yang berlaku untuk kontrol. Untuk informasi tentang menonaktifkan kontrol di semua standar yang berlaku, lihat. [Menonaktifkan kontrol lintas standar](disable-controls-across-standards.md)

Pada halaman detail standar, Anda juga dapat menonaktifkan kontrol dalam standar tertentu. Anda harus menonaktifkan kontrol dalam standar tertentu secara terpisah di masing-masing Akun AWS dan Wilayah AWS. Ketika Anda menonaktifkan kontrol dalam standar tertentu, itu hanya memengaruhi akun saat ini dan Wilayah.

Pilih metode pilihan Anda, dan ikuti langkah-langkah ini untuk menonaktifkan kontrol dalam satu atau lebih standar spesifik.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Standar keamanan** dari panel navigasi. Pilih **Lihat hasil** untuk standar yang relevan.

1. Pilih kontrol.

1. Pilih **Nonaktifkan Kontrol**. Opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan.

1. **Berikan alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.**

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) API ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   **Permintaan contoh:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   **Permintaan contoh:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Jalankan `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, API akan mengembalikan respons kode status HTTP 200.

   **Permintaan contoh:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. `describe-standards` Perintah ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Jalankan perintah `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Kontrol yang disarankan untuk dinonaktifkan di CSPM Security Hub
<a name="controls-to-disable"></a>

Sebaiknya nonaktifkan beberapa kontrol CSPM AWS Security Hub untuk mengurangi kebisingan dan biaya penggunaan.

## Kontrol yang menggunakan sumber daya global
<a name="controls-to-disable-global-resources"></a>

Beberapa Layanan AWS mendukung sumber daya global, yang berarti Anda dapat mengakses sumber daya dari mana pun Wilayah AWS. Untuk menghemat biaya AWS Config, Anda dapat menonaktifkan perekaman sumber daya global di semua kecuali satu Wilayah. Namun, setelah Anda melakukan ini, Security Hub CSPM masih menjalankan pemeriksaan keamanan di semua Wilayah di mana kontrol diaktifkan dan menagih Anda berdasarkan jumlah cek per akun per Wilayah. Dengan demikian, untuk mengurangi kebisingan dan menghemat biaya CSPM Security Hub, Anda juga harus menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah yang mencatat sumber daya global.

Jika kontrol melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah, menonaktifkannya di Wilayah tersebut mencegah Anda mendapatkan temuan apa pun untuk sumber daya yang mendasarinya. Dalam hal ini, kami sarankan untuk tetap mengaktifkan kontrol. Saat menggunakan agregasi lintas wilayah, Wilayah di mana kontrol tersedia harus merupakan Wilayah agregasi atau salah satu Wilayah yang ditautkan. Kontrol berikut melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah:
+ **Semua CloudFront kontrol** - Hanya tersedia di Wilayah AS Timur (Virginia N.)
+ **GlobalAccelerator.1** — Hanya tersedia di Wilayah AS Barat (Oregon)
+ **Route53.2** - Hanya tersedia di Wilayah AS Timur (Virginia N.)
+ **WAF.1, WAF.6, WAF.7, WAF.8 - Hanya tersedia di Wilayah** AS Timur (Virginia N.)

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk informasi selengkapnya tentang konfigurasi pusat, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Untuk kontrol yang memiliki jenis jadwal *periodik*, menonaktifkannya di Security Hub CSPM diperlukan untuk mencegah penagihan. Menyetel AWS Config parameter `includeGlobalResourceTypes` ke `false` tidak memengaruhi kontrol CSPM Security Hub berkala.

Kontrol CSPM Security Hub berikut menggunakan sumber daya global:
+ [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)
+ [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)
+ [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)
+ [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)
+ [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)
+ [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)
+ [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)
+ [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)
+ [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)
+ [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)
+ [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)
+ [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)
+ [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)
+ [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)
+ [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)
+ [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)
+ [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)
+ [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)
+ [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)
+ [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)
+ [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21)
+ [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)
+ [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24)
+ [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)
+ [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1)
+ [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2)
+ [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1)
+ [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6)
+ [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7)
+ [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8)

## CloudTrail kontrol logging
<a name="controls-to-disable-cloudtrail-logging"></a>

Kontrol [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) mengevaluasi penggunaan AWS Key Management Service (AWS KMS) untuk mengenkripsi log jejak AWS CloudTrail . Jika Anda mencatat jejak ini di akun logging terpusat, Anda harus mengaktifkan kontrol ini hanya di akun dan di Wilayah AWS mana pencatatan terpusat terjadi.

Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), status pengaktifan kontrol disejajarkan di seluruh Wilayah beranda dan Wilayah yang ditautkan. Anda tidak dapat menonaktifkan kontrol di beberapa Wilayah dan mengaktifkannya di wilayah lain. Dalam hal ini, Anda dapat menekan temuan dari kontrol CloudTrail .2 untuk mengurangi kebisingan temuan.

## CloudWatch kontrol alarm
<a name="controls-to-disable-cloudwatch-alarms"></a>

Jika Anda lebih suka menggunakan Amazon GuardDuty untuk deteksi anomali daripada CloudWatch alarm Amazon, Anda dapat menonaktifkan kontrol berikut, yang berfokus pada alarm: CloudWatch 
+ [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)

# Memahami pemeriksaan dan skor keamanan di Security Hub CSPM
<a name="securityhub-controls-finding-generation"></a>

Untuk setiap kontrol yang Anda aktifkan, AWS Security Hub CSPM menjalankan pemeriksaan keamanan. Pemeriksaan keamanan menghasilkan temuan yang memberi tahu Anda apakah AWS sumber daya tertentu sesuai dengan aturan yang termasuk dalam kontrol.

Beberapa pemeriksaan berjalan pada jadwal berkala. Pemeriksaan lain hanya berjalan ketika ada perubahan pada status sumber daya. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Banyak pemeriksaan keamanan menggunakan aturan AWS Config terkelola atau kustom untuk menetapkan persyaratan kepatuhan. Untuk menjalankan pemeriksaan ini, Anda harus mengatur AWS Config dan mengaktifkan perekaman sumber daya untuk sumber daya yang diperlukan. Untuk informasi lebih lanjut tentang pengaturan AWS Config, lihat[Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md). Untuk daftar AWS Config sumber daya yang harus Anda rekam untuk setiap standar, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md). Kontrol lain menggunakan fungsi Lambda khusus, yang dikelola oleh Security Hub CSPM dan tidak memerlukan prasyarat apa pun.

Karena Security Hub CSPM menjalankan pemeriksaan keamanan, CSPM menghasilkan temuan dan memberi mereka status kepatuhan. Untuk informasi selengkapnya tentang status kepatuhan, lihat[Mengevaluasi status kepatuhan temuan CSPM Security Hub](controls-overall-status.md#controls-overall-status-compliance-status).

Security Hub CSPM menggunakan status kepatuhan temuan kontrol untuk menentukan status kontrol secara keseluruhan. Berdasarkan status kontrol, Security Hub CSPM juga menghitung skor keamanan di semua kontrol yang diaktifkan dan untuk standar tertentu. Untuk informasi selengkapnya, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md) dan [Menghitung skor keamanan](standards-security-score.md).

Jika Anda mengaktifkan temuan kontrol konsolidasi, Security Hub CSPM menghasilkan satu temuan bahkan ketika kontrol dikaitkan dengan lebih dari satu standar. Lihat informasi yang lebih lengkap di [Temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md)
+ [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md)
+ [Menghasilkan dan memperbarui temuan kontrol](controls-findings-create-update.md)
+ [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md)
+ [Menghitung skor keamanan](standards-security-score.md)

# AWS Config Sumber daya yang diperlukan untuk temuan kontrol
<a name="controls-config-resources"></a>

Di CSPM AWS Security Hub, beberapa kontrol menggunakan AWS Config aturan terkait layanan yang mendeteksi perubahan konfigurasi dalam sumber daya Anda. AWS Agar CSPM Security Hub menghasilkan temuan akurat untuk kontrol ini, Anda harus mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya. AWS Config Untuk informasi tentang cara Security Hub CSPM menggunakan AWS Config aturan dan cara mengaktifkan dan mengonfigurasi AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi rinci tentang perekaman sumber daya, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Untuk menerima temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config sumber daya untuk kontrol yang diaktifkan dengan jenis jadwal yang *dipicu perubahan*. Beberapa kontrol dengan jenis jadwal *periodik* juga memerlukan perekaman sumber daya. Halaman ini mencantumkan sumber daya yang diperlukan untuk kontrol CSPM Security Hub ini.

Kontrol CSPM Security Hub dapat mengandalkan AWS Config aturan terkelola atau aturan CSPM Security Hub kustom. Pastikan tidak ada kebijakan AWS Identity and Access Management (IAM) atau kebijakan AWS Organizations terkelola yang AWS Config mencegah izin untuk merekam sumber daya Anda. Kontrol CSPM Security Hub mengevaluasi konfigurasi sumber daya secara langsung dan tidak memperhitungkan AWS Organizations kebijakan.

**catatan**  
Di Wilayah AWS mana kontrol tidak tersedia, sumber daya yang sesuai tidak tersedia di AWS Config. Untuk daftar batasan ini, lihat[Batas regional pada kontrol CSPM Security Hub](regions-controls.md).

**Topics**
+ [Sumber daya yang diperlukan untuk semua kontrol CSPM Security Hub](#all-controls-config-resources)
+ [Sumber daya yang diperlukan untuk standar Praktik Terbaik Keamanan AWS Dasar](#securityhub-standards-fsbp-config-resources)
+ [Sumber daya yang dibutuhkan untuk Tolok Ukur AWS Yayasan CIS](#securityhub-standards-cis-config-resources)
+ [Sumber daya yang diperlukan untuk standar NIST SP 800-53 Revisi 5](#nist-config-resources)
+ [Sumber daya yang diperlukan untuk standar NIST SP 800-171 Revisi 2](#nist-800-171-config-resources)
+ [Sumber daya yang dibutuhkan untuk PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Sumber daya yang diperlukan untuk standar Penandaan AWS Sumber Daya](#tagging-config-resources)

## Sumber daya yang diperlukan untuk semua kontrol CSPM Security Hub
<a name="all-controls-config-resources"></a>

Agar CSPM Security Hub menghasilkan temuan untuk kontrol yang dipicu perubahan yang diaktifkan dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Tabel ini juga menunjukkan kontrol mana yang mengevaluasi jenis sumber daya tertentu. Sebuah kontrol tunggal dapat mengevaluasi lebih dari satu jenis sumber daya.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-config-resources.html)

## Sumber daya yang diperlukan untuk standar Praktik Terbaik Keamanan AWS Dasar
<a name="securityhub-standards-fsbp-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar Praktik Terbaik Keamanan AWS Dasar (v.1.0.0), diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[AWS Standar Praktik Terbaik Keamanan Dasar di Security Hub CSPM](fsbp-standard.md).


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Layanan Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Tanpa Server  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## Sumber daya yang dibutuhkan untuk Tolok Ukur AWS Yayasan CIS
<a name="securityhub-standards-cis-config-resources"></a>

Untuk menjalankan pemeriksaan keamanan untuk kontrol yang diaktifkan yang berlaku untuk Tolok Ukur AWS Yayasan Center for Internet Security (CIS), Security Hub CSPM berjalan melalui langkah-langkah audit yang tepat yang ditentukan untuk pemeriksaan atau menggunakan aturan terkelola tertentu. AWS Config Untuk informasi tentang standar ini di Security Hub CSPM, lihat. [Tolok Ukur AWS Yayasan CIS di Security Hub CSPM](cis-aws-foundations-benchmark.md)

### Sumber daya yang diperlukan untuk CIS v5.0.0
<a name="cis-5.0-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v5.0.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Sumber daya yang diperlukan untuk CIS v3.0.0
<a name="cis-3.0-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v3.0.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Sumber daya yang dibutuhkan untuk CIS v1.4.0
<a name="cis-1.4-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v1.4.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### Sumber daya yang diperlukan untuk CIS v1.2.0
<a name="cis-1.2-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v1.2.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## Sumber daya yang diperlukan untuk standar NIST SP 800-53 Revisi 5
<a name="nist-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar NIST SP 800-53 Revisi 5, diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[NIST SP 800-53 Revisi 5 di Security Hub CSPM](standards-reference-nist-800-53.md).


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Layanan Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Sumber daya yang diperlukan untuk standar NIST SP 800-171 Revisi 2
<a name="nist-800-171-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar NIST SP 800-171 Revisi 2, diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[NIST SP 800-171 Revisi 2 di Security Hub CSPM](standards-reference-nist-800-171.md).


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Awan Komputasi Elastis Amazon (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Layanan Penyimpanan Sederhana Amazon (Amazon S3) | `AWS::S3::Bucket` | 
| Layanan Pemberitahuan Sederhana Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Sumber daya yang dibutuhkan untuk PCI DSS v3.2.1
<a name="securityhub-standards-pci-config-resources"></a>

Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang berlaku untuk v3.2.1 Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[PCI DSS di Security Hub CSPM](pci-standard.md).


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|   OpenSearch Layanan Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## Sumber daya yang diperlukan untuk standar Penandaan AWS Sumber Daya
<a name="tagging-config-resources"></a>

Semua kontrol yang berlaku untuk standar AWS Resource Tagging dipicu perubahan dan menggunakan AWS Config aturan. Agar CSPM Security Hub melaporkan temuan untuk kontrol ini secara akurat, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[AWS Standar Penandaan Sumber Daya di Security Hub CSPM](standards-tagging.md).


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (Penganalisis Akses IAM)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT Acara  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT Nirkabel  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (untuk Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
|  OpenSearch Layanan Amazon |  `AWS::OpenSearch::Domain`  | 
| AWS Private Certificate Authority |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# Jadwal untuk menjalankan pemeriksaan keamanan
<a name="securityhub-standards-schedule"></a>

Setelah Anda mengaktifkan standar keamanan, AWS Security Hub CSPM mulai menjalankan semua pemeriksaan dalam waktu dua jam. Sebagian besar pemeriksaan mulai berjalan dalam waktu 25 menit. Security Hub CSPM menjalankan pemeriksaan dengan mengevaluasi aturan yang mendasari kontrol. Sampai kontrol menyelesaikan pemeriksaan pertamanya, statusnya adalah **Tidak ada data**.

Saat Anda mengaktifkan standar baru, CSPM Security Hub mungkin memerlukan waktu hingga 24 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan dasar yang sama dengan kontrol yang diaktifkan dari standar lain yang diaktifkan. Misalnya, jika Anda mengaktifkan kontrol [Lambda.1](lambda-controls.md#lambda-1) dalam standar Praktik Terbaik Keamanan AWS Dasar (FSBP), Security Hub CSPM akan membuat aturan terkait layanan dan biasanya menghasilkan temuan dalam hitungan menit. Setelah ini, jika Anda mengaktifkan kontrol Lambda.1 di Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), mungkin diperlukan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan untuk kontrol karena menggunakan aturan terkait layanan yang sama.

Setelah pemeriksaan awal, jadwal untuk setiap kontrol dapat berupa periodik atau perubahan yang dipicu. Untuk kontrol yang didasarkan pada AWS Config aturan terkelola, deskripsi kontrol menyertakan tautan ke deskripsi aturan di *Panduan AWS Config Pengembang*. Deskripsi itu menentukan apakah aturan tersebut dipicu perubahan atau periodik. 

## Pemeriksaan keamanan berkala
<a name="periodic-checks"></a>

Pemeriksaan keamanan berkala berjalan secara otomatis dalam waktu 12 atau 24 jam setelah proses terbaru. Security Hub CSPM menentukan periodisitas, dan Anda tidak dapat mengubahnya. Kontrol periodik mencerminkan evaluasi pada saat pemeriksaan berjalan.

Jika Anda memperbarui status alur kerja dari temuan kontrol berkala, dan kemudian pada pemeriksaan berikutnya status kepatuhan temuan tetap sama, status alur kerja tetap dalam status yang diubah. Misalnya, jika Anda memiliki temuan gagal untuk kontrol [KMS.4](kms-controls.md#kms-4) (*AWS KMS key rotasi harus diaktifkan*), dan kemudian memulihkan temuan, Security Hub CSPM mengubah status alur kerja dari ke. `NEW` `RESOLVED` Jika Anda menonaktifkan rotasi kunci KMS sebelum pemeriksaan berkala berikutnya, status alur kerja temuan tetap ada. `RESOLVED`

Pemeriksaan yang menggunakan fungsi Lambda kustom Security Hub CSPM bersifat periodik.

## Pemeriksaan keamanan yang dipicu perubahan
<a name="change-triggered-checks"></a>

Pemeriksaan keamanan yang dipicu perubahan berjalan saat sumber daya terkait mengubah status. AWS Config memungkinkan Anda memilih antara *perekaman terus menerus* dari perubahan status sumber daya dan *perekaman harian*. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan CSPM Security Hub hingga periode 24 jam selesai. Terlepas dari periode perekaman yang Anda pilih, Security Hub CSPM memeriksa setiap 18 jam untuk memastikan tidak ada pembaruan sumber daya yang AWS Config terlewatkan.

Secara umum, Security Hub CSPM menggunakan aturan yang dipicu perubahan bila memungkinkan. Agar sumber daya menggunakan aturan yang dipicu perubahan, ia harus mendukung item AWS Config konfigurasi.

# Menghasilkan dan memperbarui temuan kontrol
<a name="controls-findings-create-update"></a>

AWS Security Hub CSPM menghasilkan dan memperbarui temuan kontrol saat menjalankan pemeriksaan terhadap kontrol keamanan. Temuan kontrol menggunakan [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

Security Hub CSPM biasanya mengenakan biaya untuk setiap pemeriksaan keamanan untuk kontrol. Namun, jika beberapa kontrol menggunakan AWS Config aturan yang sama, CSPM Security Hub hanya mengenakan biaya sekali untuk setiap pemeriksaan terhadap aturan. Misalnya, AWS Config `iam-password-policy` aturan ini digunakan oleh beberapa kontrol dalam standar Tolok Ukur AWS Yayasan CIS dan standar Praktik Terbaik Keamanan AWS Dasar. Setiap kali Security Hub CSPM menjalankan pemeriksaan terhadap aturan itu, itu menghasilkan temuan kontrol terpisah untuk setiap kontrol terkait, tetapi hanya mengenakan biaya sekali untuk pemeriksaan.

Jika ukuran temuan kontrol melebihi maksimum 240 KB, Security Hub CSPM menghapus `Resource.Details` objek dari temuan. Untuk kontrol yang didukung oleh AWS Config sumber daya, Anda dapat meninjau detail sumber daya menggunakan AWS Config konsol.

**Topics**
+ [Temuan kontrol terkonsolidasi](#consolidated-control-findings)
+ [Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol](#securityhub-standards-results-updating)
+ [Otomatisasi dan penindasan temuan kontrol](#automation-control-findings)
+ [Detail kepatuhan untuk temuan kontrol](#control-findings-asff-compliance)
+ [ProductFields rincian untuk temuan kontrol](#control-findings-asff-productfields)
+ [Tingkat keparahan untuk temuan kontrol](#control-findings-severity)

## Temuan kontrol terkonsolidasi
<a name="consolidated-control-findings"></a>

Jika temuan kontrol konsolidasi diaktifkan untuk akun Anda, Security Hub CSPM menghasilkan satu temuan atau pembaruan pencarian untuk setiap pemeriksaan keamanan kontrol, bahkan jika kontrol berlaku untuk beberapa standar yang diaktifkan. Untuk daftar kontrol dan standar yang mereka terapkan, lihat[Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md). Kami merekomendasikan untuk mengaktifkan temuan kontrol terkonsolidasi untuk mengurangi kebisingan temuan.

Jika Anda mengaktifkan CSPM Security Hub Akun AWS sebelum 23 Februari 2023, Anda dapat mengaktifkan temuan kontrol konsolidasi dengan mengikuti petunjuk nanti di bagian ini. Jika Anda mengaktifkan CSPM Security Hub pada atau setelah 23 Februari 2023, temuan kontrol konsolidasi diaktifkan secara otomatis untuk akun Anda.

Jika Anda menggunakan [integrasi CSPM Security Hub dengan AWS Organizations](securityhub-accounts-orgs.md) atau akun anggota yang diundang melalui [proses undangan manual](account-management-manual.md), temuan kontrol konsolidasi diaktifkan untuk akun anggota hanya jika diaktifkan untuk akun administrator. Jika fitur dinonaktifkan untuk akun administrator, itu dinonaktifkan untuk akun anggota. Perilaku ini berlaku untuk akun anggota baru dan yang sudah ada. Selain itu, jika administrator menggunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengelola CSPM Security Hub untuk beberapa akun, mereka tidak dapat menggunakan kebijakan konfigurasi pusat untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi untuk akun.

Jika Anda menonaktifkan temuan kontrol konsolidasi untuk akun Anda, Security Hub CSPM akan menghasilkan atau memperbarui temuan kontrol terpisah untuk setiap standar yang diaktifkan yang menyertakan kontrol. Misalnya, jika Anda mengaktifkan empat standar yang berbagi kontrol, Anda menerima empat temuan terpisah setelah pemeriksaan keamanan untuk kontrol. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan.

Saat Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub CSPM menciptakan temuan agnostik standar baru dan mengarsipkan temuan berbasis standar asli. Beberapa bidang dan nilai pencarian kontrol akan berubah, yang mungkin memengaruhi alur kerja Anda yang ada. Untuk informasi tentang perubahan ini, lihat[Temuan kontrol konsolidasi - perubahan ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Mengaktifkan temuan kontrol konsolidasi juga dapat memengaruhi temuan yang diterima produk pihak ketiga terintegrasi dari Security Hub CSPM. Jika Anda menggunakan [Respons Keamanan Otomatis pada solusi AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), perhatikan bahwa solusi ini mendukung temuan kontrol terkonsolidasi. 

Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi, Anda harus masuk ke akun administrator atau akun mandiri.

**catatan**  
Setelah Anda mengaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan konsolidasi baru dan mengarsipkan temuan berbasis standar yang ada. Demikian pula, setelah menonaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan berbasis standar baru dan mengarsipkan temuan konsolidasi yang ada. Selama masa-masa ini, Anda mungkin melihat campuran temuan agnostik standar dan berbasis standar di akun Anda.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pada **Pengaturan**, pilih **Umum**.

1. Di bagian **Kontrol**, pilih **Edit**.

1. Gunakan sakelar **temuan kontrol Konsolidasi** untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi.

1. Pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

Untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi secara terprogram, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)pengoperasian Security Hub CSPM API. Atau, jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)perintah. 

Untuk `control-finding-generator` parameter, tentukan `SECURITY_CONTROL` untuk mengaktifkan temuan kontrol terkonsolidasi. Untuk menonaktifkan temuan kontrol konsolidasi, tentukan`STANDARD_CONTROL`.

Misalnya, AWS CLI perintah berikut memungkinkan temuan kontrol terkonsolidasi.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

 AWS CLI Perintah berikut menonaktifkan temuan kontrol konsolidasi.

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol
<a name="securityhub-standards-results-updating"></a>

[Security Hub CSPM menjalankan pemeriksaan keamanan sesuai jadwal.](securityhub-standards-schedule.md) Pertama kali Security Hub CSPM menjalankan pemeriksaan keamanan untuk kontrol, ini menghasilkan temuan baru untuk setiap AWS sumber daya yang diperiksa kontrol. Setiap kali Security Hub CSPM kemudian menjalankan pemeriksaan keamanan untuk kontrol, itu memperbarui temuan yang ada untuk melaporkan hasil pemeriksaan. Ini berarti Anda dapat menggunakan data yang disediakan oleh temuan individu untuk melacak perubahan kepatuhan untuk sumber daya tertentu terhadap kontrol tertentu.

Misalnya, jika status kepatuhan sumber daya berubah dari `FAILED` ke `PASSED` untuk kontrol tertentu, Security Hub CSPM tidak menghasilkan temuan baru. Sebagai gantinya, Security Hub CSPM memperbarui temuan yang ada untuk kontrol dan sumber daya. Dalam temuan tersebut, Security Hub CSPM mengubah nilai untuk bidang status kepatuhan (`Compliance.Status`) menjadi. `PASSED` Security Hub CSPM juga memperbarui nilai untuk bidang tambahan untuk mencerminkan hasil pemeriksaan—misalnya, label tingkat keparahan, status alur kerja, dan stempel waktu yang menunjukkan kapan Security Hub CSPM baru-baru ini menjalankan pemeriksaan dan memperbarui temuan.

Saat melaporkan perubahan status kepatuhan, CSPM Security Hub dapat memperbarui salah satu bidang berikut dalam temuan kontrol:
+ `Compliance.Status`— Status kepatuhan baru dari sumber daya untuk kontrol yang ditentukan.
+ `FindingProviderFields.Severity.Label`Representasi kualitatif baru dari tingkat keparahan temuan, seperti, `LOW``MEDIUM`, atau`HIGH`.
+ `FindingProviderFields.Severity.Original`— Representasi kuantitatif baru dari tingkat keparahan temuan, seperti `0` untuk sumber daya yang sesuai.
+ `FirstObservedAt`— Ketika status kepatuhan sumber daya baru-baru ini berubah.
+ `LastObservedAt`— Ketika Security Hub CSPM baru-baru ini menjalankan pemeriksaan keamanan untuk kontrol dan sumber daya yang ditentukan.
+ `ProcessedAt`— Ketika Security Hub CSPM baru-baru ini mulai memproses temuan tersebut.
+ `ProductFields.PreviousComplianceStatus`— Status kepatuhan sebelumnya (`Compliance.Status`) dari sumber daya untuk kontrol yang ditentukan.
+ `UpdatedAt`— Ketika Security Hub CSPM terbaru memperbarui temuan.
+ `Workflow.Status`— Status investigasi terhadap temuan, berdasarkan status kepatuhan baru sumber daya untuk kontrol yang ditentukan.

Apakah Security Hub CSPM memperbarui bidang tergantung terutama pada hasil pemeriksaan keamanan terbaru untuk kontrol dan sumber daya yang berlaku. Misalnya, jika status kepatuhan sumber daya berubah dari `PASSED` ke `FAILED` untuk kontrol tertentu, CSPM Security Hub mengubah status alur kerja temuan menjadi. `NEW` Untuk melacak pembaruan temuan individu, Anda dapat merujuk ke riwayat temuan. Untuk detail tentang bidang individual dalam temuan, lihat [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).

Dalam kasus tertentu, Security Hub CSPM menghasilkan temuan baru untuk pemeriksaan selanjutnya dengan kontrol, alih-alih memperbarui temuan yang ada. Ini dapat terjadi jika ada masalah dengan AWS Config aturan yang mendukung kontrol. Jika ini terjadi, Security Hub CSPM mengarsipkan temuan yang ada dan menghasilkan temuan baru untuk setiap pemeriksaan. Dalam temuan baru, status kepatuhan adalah `NOT_AVAILABLE` dan status catatan adalah`ARCHIVED`. Setelah Anda mengatasi masalah dengan AWS Config aturan, Security Hub CSPM menghasilkan temuan baru dan mulai memperbaruinya untuk melacak perubahan berikutnya pada status kepatuhan sumber daya individu.

Selain menghasilkan dan memperbarui temuan kontrol, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol yang memenuhi kriteria tertentu. Security Hub CSPM mengarsipkan temuan jika kontrol dinonaktifkan, sumber daya yang ditentukan dihapus, atau sumber daya yang ditentukan tidak ada lagi. Sumber daya mungkin tidak ada lagi karena layanan terkait tidak lagi digunakan. Lebih khusus lagi, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol jika temuan tersebut memenuhi salah satu kriteria berikut:
+ Temuan ini belum diperbarui selama 3-5 hari. Perhatikan bahwa arsip berdasarkan kerangka waktu ini adalah upaya terbaik dan tidak dijamin.
+  AWS Config Evaluasi terkait dikembalikan `NOT_APPLICABLE` untuk status kepatuhan sumber daya yang ditentukan.

Untuk menentukan apakah suatu temuan diarsipkan, Anda dapat merujuk ke bidang record state (`RecordState`) dari temuan tersebut. Jika temuan diarsipkan, nilai untuk bidang ini adalah`ARCHIVED`.

Security Hub CSPM menyimpan temuan kontrol yang diarsipkan selama 30 hari. Setelah 30 hari, temuan berakhir dan Security Hub CSPM menghapusnya secara permanen. Untuk menentukan apakah temuan kontrol yang diarsipkan telah kedaluwarsa, Security Hub CSPM mendasarkan perhitungannya pada nilai untuk `UpdatedAt` bidang temuan.

Untuk menyimpan temuan kontrol yang diarsipkan selama lebih dari 30 hari, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

**catatan**  
Sebelum 3 Juli 2025, Security Hub CSPM menghasilkan dan memperbarui temuan kontrol secara berbeda ketika status kepatuhan sumber daya berubah untuk kontrol. Sebelumnya, Security Hub CSPM membuat temuan kontrol baru dan mengarsipkan temuan yang ada untuk sumber daya. Oleh karena itu, Anda mungkin memiliki beberapa temuan yang diarsipkan untuk kontrol dan sumber daya tertentu sampai temuan tersebut kedaluwarsa (setelah 30 hari).

## Otomatisasi dan penindasan temuan kontrol
<a name="automation-control-findings"></a>

Anda dapat menggunakan aturan otomatisasi CSPM Security Hub untuk memperbarui atau menekan temuan kontrol tertentu. Jika Anda menekan temuan, Anda dapat terus mengaksesnya. Namun, penindasan menunjukkan keyakinan Anda bahwa tidak ada tindakan yang diperlukan untuk mengatasi temuan tersebut.

Dengan menekan temuan, Anda dapat mengurangi kebisingan temuan. Misalnya, Anda mungkin menekan temuan kontrol yang dihasilkan di akun pengujian. Atau, Anda mungkin menekan temuan yang terkait dengan sumber daya tertentu. Untuk mempelajari lebih lanjut tentang memperbarui atau menekan temuan secara otomatis, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md). 

Aturan otomatisasi sesuai ketika Anda ingin memperbarui atau menekan temuan kontrol tertentu. Namun, jika kontrol tidak relevan dengan organisasi atau kasus penggunaan Anda, sebaiknya [nonaktifkan](disable-controls-overview.md) kontrol. Jika Anda menonaktifkan kontrol, Security Hub CSPM tidak menjalankan pemeriksaan keamanan untuk itu dan Anda tidak dikenakan biaya untuk itu.

## Detail kepatuhan untuk temuan kontrol
<a name="control-findings-asff-compliance"></a>

Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, objek [Kepatuhan](asff-top-level-attributes.md#asff-compliance) dan bidang dalam AWS Security Finding Format (ASFF) memberikan rincian kepatuhan untuk sumber daya individu yang diperiksa oleh kontrol. Ini termasuk informasi berikut:
+ `AssociatedStandards`— Standar yang diaktifkan di mana kontrol diaktifkan.
+ `RelatedRequirements`— Persyaratan terkait untuk kontrol di semua standar yang diaktifkan. Persyaratan ini berasal dari kerangka keamanan pihak ketiga untuk kontrol, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) atau standar NIST SP 800-171 Revisi 2.
+ `SecurityControlId`— Pengidentifikasi untuk kontrol di seluruh standar yang didukung Security Hub CSPM.
+ `Status`— Hasil pemeriksaan terbaru bahwa Security Hub CSPM berjalan untuk kontrol. Hasil pemeriksaan sebelumnya dipertahankan dalam sejarah temuan.
+ `StatusReasons`— Array yang mencantumkan alasan untuk nilai yang ditentukan oleh `Status` bidang. Untuk setiap alasan, ini termasuk kode alasan dan deskripsi.

Tabel berikut mencantumkan kode alasan dan deskripsi bahwa temuan mungkin termasuk dalam `StatusReasons` array. Langkah-langkah remediasi bervariasi berdasarkan kontrol mana yang menghasilkan temuan dengan kode alasan tertentu. Untuk meninjau panduan remediasi untuk kontrol, lihat. [Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md)


| Kode alasan | Status kepatuhan | Deskripsi | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |   CloudTrail Jejak Multi-wilayah tidak memiliki filter metrik yang valid.  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  Filter metrik tidak ada untuk CloudTrail jejak Multi-wilayah.  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  Akun tidak memiliki CloudTrail jejak Multi-wilayah dengan konfigurasi yang diperlukan.  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |   CloudTrail Jalur Multi-Region tidak berada di Wilayah saat ini.  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  Tidak ada tindakan alarm yang valid.  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch alarm tidak ada di akun.  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config Status adalah `ConfigError`  |  AWS Config akses ditolak. Verifikasi bahwa AWS Config diaktifkan dan telah diberikan izin yang cukup.  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config mengevaluasi sumber daya Anda berdasarkan aturan. Aturan tidak berlaku untuk AWS sumber daya dalam ruang lingkupnya, sumber daya yang ditentukan dihapus, atau hasil evaluasi dihapus.  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED`(untuk Config.1)  |   AWS Config Perekam menggunakan peran IAM khusus alih-alih peran AWS Config terkait layanan, dan parameter `includeConfigServiceLinkedRoleCheck` khusus untuk Config.1 tidak disetel ke. `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED`(untuk Config.1)  |  AWS Config tidak diaktifkan dengan perekam konfigurasi dihidupkan.  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED`(untuk Config.1)  |  AWS Config tidak merekam semua jenis sumber daya yang sesuai dengan kontrol CSPM Security Hub yang diaktifkan. Aktifkan perekaman untuk sumber daya berikut:*Resources that aren't being recorded*.  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  Status kepatuhan adalah `NOT_AVAILABLE` karena AWS Config mengembalikan status **Tidak Berlaku**. AWS Config tidak memberikan alasan untuk status tersebut. Berikut adalah beberapa kemungkinan alasan untuk status **Tidak Berlaku**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config Status adalah `ConfigError`  |  Kode alasan ini digunakan untuk beberapa jenis kesalahan evaluasi. Deskripsi memberikan informasi alasan spesifik. Jenis kesalahan dapat berupa salah satu dari yang berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config Status adalah `ConfigError`  |   AWS Config Aturannya sedang dalam proses diciptakan.  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  Terjadi kesalahan yang tidak diketahui.  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM tidak dapat melakukan pemeriksaan terhadap runtime Lambda kustom.  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Temuan ini dalam `WARNING` keadaan karena bucket S3 yang dikaitkan dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  Filter metrik CloudWatch Log tidak memiliki langganan Amazon SNS yang valid.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  Temuan itu dalam `WARNING` keadaan. Topik SNS yang terkait dengan aturan ini dimiliki oleh akun yang berbeda. Akun saat ini tidak dapat memperoleh informasi berlangganan. Akun yang memiliki topik SNS harus memberikan `sns:ListSubscriptionsByTopic` izin kepada akun saat ini untuk topik SNS.  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  Temuan ini dalam `WARNING` keadaan karena topik SNS yang terkait dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  Topik SNS yang terkait dengan aturan ini tidak valid.  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  Operasi API yang relevan melebihi tarif yang diizinkan.  | 

## ProductFields rincian untuk temuan kontrol
<a name="control-findings-asff-productfields"></a>

Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, [ProductFields](asff-top-level-attributes.md#asff-productfields)atribut dalam AWS Security Finding Format (ASFF) dapat menyertakan bidang berikut.

`ArchivalReasons:0/Description`  
Menjelaskan mengapa Security Hub CSPM mengarsipkan temuan.  
Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol [konsolidasi](#consolidated-control-findings).

`ArchivalReasons:0/ReasonCode`  
Menentukan mengapa Security Hub CSPM mengarsipkan temuan.  
Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol [konsolidasi](#consolidated-control-findings).

`PreviousComplianceStatus`  
Status kepatuhan sebelumnya (`Compliance.Status`) dari sumber daya untuk kontrol yang ditentukan, pada pembaruan terbaru untuk temuan. Jika status kepatuhan sumber daya tidak berubah selama pembaruan terbaru, nilai ini sama dengan nilai untuk `Compliance.Status` bidang temuan. Untuk daftar peluang nilai, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).

`StandardsGuideArn` atau `StandardsArn`  
ARN dari standar yang terkait dengan kontrol.  
Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. `StandardsGuideArn` Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. `StandardsArn`  
Bidang ini dihapus demi `Compliance.AssociatedStandards` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).

`StandardsGuideSubscriptionArn` atau `StandardsSubscriptionArn`  
ARN berlangganan akun ke standar.  
Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. `StandardsGuideSubscriptionArn` Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. `StandardsSubscriptionArn`  
Bidang ini akan dihapus jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).

`RuleId` atau `ControlId`  
Pengidentifikasi untuk kontrol.  
Untuk versi 1.2.0 dari standar CIS AWS Foundations Benchmark, bidangnya adalah. `RuleId` Untuk standar lain, termasuk versi berikutnya dari standar Tolok Ukur AWS Yayasan CIS, bidangnya adalah. `ControlId`  
Bidang ini dihapus demi `Compliance.SecurityControlId` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).

`RecommendationUrl`  
URL untuk informasi remediasi untuk kontrol. Bidang ini dihapus demi `Remediation.Recommendation.Url` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).

`RelatedAWSResources:0/name`  
Nama sumber daya yang terkait dengan temuan.

`RelatedAWSResource:0/type`  
Jenis sumber daya yang terkait dengan kontrol.

`StandardsControlArn`  
ARN kontrol. Bidang ini dihapus jika Anda mengaktifkan [temuan kontrol konsolidasi](#consolidated-control-findings).

`aws/securityhub/ProductName`  
Untuk temuan kontrol, nama produknya adalah`Security Hub`.

`aws/securityhub/CompanyName`  
Untuk temuan kontrol, nama perusahaan adalah`AWS`.

`aws/securityhub/annotation`  
Deskripsi masalah yang ditemukan oleh kontrol.

`aws/securityhub/FindingId`  
Pengidentifikasi untuk temuan.  
Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).

## Tingkat keparahan untuk temuan kontrol
<a name="control-findings-severity"></a>

Tingkat keparahan yang ditetapkan ke kontrol CSPM Security Hub menunjukkan pentingnya kontrol. Tingkat keparahan kontrol menentukan label keparahan yang ditetapkan untuk temuan kontrol.

### Kriteria keparahan
<a name="securityhub-standards-results-severity-criteria"></a>

Tingkat keparahan kontrol ditentukan berdasarkan penilaian kriteria berikut:
+ **Seberapa sulit bagi aktor ancaman untuk memanfaatkan kelemahan konfigurasi yang terkait dengan kontrol?** Kesulitan ditentukan oleh jumlah kecanggihan atau kompleksitas yang diperlukan untuk menggunakan kelemahan untuk melakukan skenario ancaman.
+ **Seberapa besar kemungkinan kelemahan itu akan menyebabkan kompromi terhadap sumber daya Anda Akun AWS atau sumber daya?** Kompromi terhadap sumber daya Anda Akun AWS berarti kerahasiaan, integritas, atau ketersediaan data atau AWS infrastruktur Anda rusak dalam beberapa cara. Kemungkinan kompromi menunjukkan seberapa besar kemungkinan skenario ancaman akan mengakibatkan gangguan atau pelanggaran sumber daya Anda Layanan AWS atau sumber daya.

Sebagai contoh, pertimbangkan kelemahan konfigurasi berikut:
+ Kunci akses pengguna tidak diputar setiap 90 hari.
+ Kunci pengguna root IAM ada.

Kedua kelemahan sama-sama sulit untuk dimanfaatkan musuh. Dalam kedua kasus, musuh dapat menggunakan pencurian kredenal atau metode lain untuk memperoleh kunci pengguna. Mereka kemudian dapat menggunakannya untuk mengakses sumber daya Anda dengan cara yang tidak sah.

Namun, kemungkinan kompromi jauh lebih tinggi jika aktor ancaman memperoleh kunci akses pengguna root karena ini memberi mereka akses yang lebih besar. Akibatnya, kelemahan kunci pengguna root memiliki tingkat keparahan yang lebih tinggi.

Tingkat keparahannya tidak memperhitungkan kekritisan sumber daya yang mendasarinya. Kritikalitas adalah tingkat pentingnya sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi lebih penting daripada sumber daya yang terkait dengan pengujian non-produksi. Untuk menangkap informasi kekritisan sumber daya, gunakan `Criticality` bidang AWS Security Finding Format (ASFF).

Tabel berikut memetakan kesulitan untuk mengeksploitasi dan kemungkinan kompromi dengan label keamanan.


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **Kompromi sangat mungkin**  |  **Kemungkinan kompromi**  |  **Kompromi tidak mungkin**  |  **Kompromi sangat tidak mungkin**  | 
|  **Sangat mudah untuk dieksploitasi**  |  Kritis  |  Kritis  |  Tinggi  |  Sedang  | 
|  **Agak mudah untuk dieksploitasi**  |  Kritis  |  Tinggi  |  Sedang  |  Sedang  | 
|  **Agak sulit untuk dieksploitasi**  |  Tinggi  |  Sedang  |  Sedang  |  Rendah  | 
|  **Sangat sulit untuk dieksploitasi**  |  Sedang  |  Sedang  |  Rendah  |  Rendah  | 

### Definisi keparahan
<a name="securityhub-standards-results-severity-definitions"></a>

Label keparahan didefinisikan sebagai berikut.

**Kritis — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.**  
Misalnya, bucket S3 terbuka dianggap sebagai temuan tingkat keparahan kritis. Karena begitu banyak pelaku ancaman memindai bucket S3 terbuka, data dalam bucket S3 yang terbuka kemungkinan akan ditemukan dan diakses oleh orang lain.  
Secara umum, sumber daya yang dapat diakses publik dianggap sebagai masalah keamanan kritis. Anda harus memperlakukan temuan kritis dengan sangat mendesak. Anda juga harus mempertimbangkan kekritisan sumber daya.

**Tinggi — Masalah ini harus ditangani sebagai prioritas jangka pendek.**  
Misalnya, jika grup keamanan VPC default terbuka untuk lalu lintas masuk dan keluar, itu dianggap tingkat keparahan tinggi. Agak mudah bagi aktor ancaman untuk mengkompromikan VPC menggunakan metode ini. Kemungkinan juga aktor ancaman akan dapat mengganggu atau mengeksfiltrasi sumber daya begitu mereka berada di VPC.  
Security Hub CSPM merekomendasikan agar Anda memperlakukan temuan tingkat keparahan tinggi sebagai prioritas jangka pendek. Anda harus segera mengambil langkah-langkah remediasi. Anda juga harus mempertimbangkan kekritisan sumber daya.

**Medium — Masalah ini harus ditangani sebagai prioritas jangka menengah.**  
Misalnya, kurangnya enkripsi untuk data dalam perjalanan dianggap sebagai temuan tingkat keparahan sedang. Dibutuhkan man-in-the-middle serangan canggih untuk memanfaatkan kelemahan ini. Dengan kata lain, ini agak sulit. Kemungkinan beberapa data akan dikompromikan jika skenario ancaman berhasil.  
Security Hub CSPM merekomendasikan agar Anda menyelidiki sumber daya yang terlibat secepat mungkin. Anda juga harus mempertimbangkan kekritisan sumber daya.

**Rendah — Masalah ini tidak memerlukan tindakan sendiri.**  
Misalnya, kegagalan untuk mengumpulkan informasi forensik dianggap tingkat keparahan rendah. Kontrol ini dapat membantu mencegah kompromi di masa depan, tetapi tidak adanya forensik tidak mengarah langsung pada kompromi.  
Anda tidak perlu mengambil tindakan segera pada temuan tingkat keparahan rendah, tetapi mereka dapat memberikan konteks ketika Anda menghubungkannya dengan masalah lain.

**Informasi - Tidak ada kelemahan konfigurasi yang ditemukan.**  
Dengan kata lain, statusnya adalah`PASSED`,`WARNING`, atau`NOT AVAILABLE`.  
Tidak ada tindakan yang disarankan. Temuan informasi membantu pelanggan untuk menunjukkan bahwa mereka berada dalam keadaan patuh.

# Mengevaluasi status kepatuhan dan status kontrol
<a name="controls-overall-status"></a>

`Compliance.Status`Bidang Format Pencarian AWS Keamanan menjelaskan hasil temuan kontrol. AWS Security Hub CSPM menggunakan status kepatuhan temuan kontrol untuk menentukan status kontrol secara keseluruhan. Status kontrol ditampilkan pada halaman detail kontrol pada konsol CSPM Security Hub.

## Mengevaluasi status kepatuhan temuan CSPM Security Hub
<a name="controls-overall-status-compliance-status"></a>

Status kepatuhan untuk setiap temuan diberikan salah satu dari nilai berikut:
+ `PASSED`— Menunjukkan bahwa kontrol melewati pemeriksaan keamanan untuk temuan tersebut. Ini secara otomatis mengatur CSPM `Workflow.Status` Security Hub ke. `RESOLVED`
+ `FAILED`— Menunjukkan bahwa kontrol tidak lulus pemeriksaan keamanan untuk temuan tersebut.
+ `WARNING`— Menunjukkan bahwa Security Hub CSPM tidak dapat menentukan apakah sumber daya berada dalam status `PASSED` atau `FAILED` tidak. Misalnya, [perekaman AWS Config sumber daya](securityhub-setup-prereqs.md#config-resource-recording) tidak diaktifkan untuk jenis sumber daya yang sesuai.
+ `NOT_AVAILABLE`— Menunjukkan bahwa pemeriksaan tidak dapat diselesaikan karena server gagal, sumber daya dihapus, atau hasil AWS Config evaluasi`NOT_APPLICABLE`. Jika hasil AWS Config evaluasi itu`NOT_APPLICABLE`, Security Hub CSPM secara otomatis mengarsipkan temuan tersebut.

Jika status kepatuhan untuk temuan berubah dari `PASSED` menjadi,, atau `FAILED``WARNING`, dan `Workflow.Status` merupakan salah satu `NOTIFIED` atau `NOT_AVAILABLE``RESOLVED`, CSPM Security Hub secara otomatis berubah `Workflow.Status` menjadi. `NEW`

Jika Anda tidak memiliki sumber daya yang sesuai dengan kontrol, Security Hub CSPM menghasilkan `PASSED` temuan di tingkat akun. Jika Anda memiliki sumber daya yang sesuai dengan kontrol tetapi kemudian menghapus sumber daya, Security Hub CSPM membuat `NOT_AVAILABLE` temuan dan mengarsipkannya segera. Setelah 18 jam, Anda menerima `PASSED` temuan karena Anda tidak lagi memiliki sumber daya yang sesuai dengan kontrol.

## Mendapatkan status kontrol dari status kepatuhan
<a name="controls-overall-status-values"></a>

Security Hub CSPM memperoleh status kontrol keseluruhan dari status kepatuhan temuan kontrol. Saat menentukan status kontrol, Security Hub CSPM mengabaikan temuan yang memiliki `RecordState` of `ARCHIVED` dan temuan yang memiliki a of. `Workflow.Status` `SUPPRESSED`

Status kontrol diberikan salah satu nilai berikut:
+ **Lulus** — Menunjukkan bahwa semua temuan memiliki status kepatuhan`PASSED`.
+ **Gagal** - Menunjukkan bahwa setidaknya satu temuan memiliki status kepatuhan`FAILED`.
+ **Tidak diketahui** - Menunjukkan bahwa setidaknya satu temuan memiliki status kepatuhan `WARNING` atau`NOT_AVAILABLE`. Tidak ada temuan yang memiliki status kepatuhan`FAILED`.
+ **Tidak ada data** — Menunjukkan bahwa tidak ada temuan untuk kontrol. Misalnya, kontrol yang baru diaktifkan memiliki status ini sampai Security Hub CSPM mulai menghasilkan temuan untuk itu. Kontrol juga memiliki status ini jika semua temuannya `SUPPRESSED` atau tidak tersedia saat ini Wilayah AWS.
+ **Dinonaktifkan** - Menunjukkan bahwa kontrol dinonaktifkan di akun saat ini dan Wilayah. Saat ini tidak ada pemeriksaan keamanan yang dilakukan untuk kontrol ini di akun saat ini dan Wilayah. Namun, temuan kontrol yang dinonaktifkan mungkin memiliki nilai untuk status kepatuhan hingga 24 jam setelah penonaktifan.

Untuk akun administrator, status kontrol mencerminkan status kontrol untuk akun administrator dan akun anggota. Secara khusus, status keseluruhan kontrol muncul sebagai **Gagal** jika kontrol memiliki satu atau lebih temuan gagal di akun administrator atau salah satu akun anggota. Jika Anda telah menetapkan Wilayah agregasi, status kontrol di Wilayah agregasi mencerminkan status kontrol di Wilayah agregasi dan Wilayah yang ditautkan. Secara khusus, status keseluruhan kontrol muncul sebagai **Gagal** jika kontrol memiliki satu atau lebih temuan gagal di Wilayah agregasi atau salah satu Wilayah terkait.

Security Hub CSPM biasanya menghasilkan status kontrol awal dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan di konsol** CSPM Security Hub. Anda harus memiliki [perekaman AWS Config sumber daya](controls-config-resources.md) yang dikonfigurasi agar status kontrol muncul. Setelah status kontrol dibuat untuk pertama kalinya, Security Hub CSPM memperbarui status kontrol setiap 24 jam berdasarkan temuan dari 24 jam sebelumnya. Stempel waktu pada halaman detail kontrol menunjukkan kapan status kontrol terakhir diperbarui.

**catatan**  
Setelah mengaktifkan kontrol untuk pertama kalinya, diperlukan waktu hingga 24 jam untuk status kontrol yang akan dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Region

# Menghitung skor keamanan
<a name="standards-security-score"></a>

Pada konsol CSPM AWS Security Hub, halaman **Ringkasan** dan halaman **Kontrol** menampilkan skor keamanan ringkasan di semua standar yang diaktifkan. Pada halaman **standar Keamanan**, Security Hub CSPM juga menampilkan skor keamanan dari 0-100 persen untuk setiap standar yang diaktifkan.

Saat pertama kali mengaktifkan Security Hub CSPM, Security Hub CSPM menghitung skor keamanan ringkasan dan skor keamanan standar dalam waktu 30 menit sejak kunjungan pertama Anda ke halaman **Ringkasan** atau **Standar Keamanan** di konsol. Skor dihasilkan hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut di konsol. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Skor keamanan ringkasan adalah rata-rata skor keamanan standar. Untuk meninjau daftar standar yang saat ini diaktifkan, Anda dapat menggunakan [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API. 

Setelah menghasilkan skor pertama kali, Security Hub CSPM memperbarui skor keamanan setiap 24 jam. Security Hub CSPM menampilkan stempel waktu untuk menunjukkan kapan skor keamanan terakhir diperbarui. Perhatikan bahwa diperlukan waktu hingga 24 jam untuk skor keamanan pertama kali dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Regions

Jika Anda mengaktifkan [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings), diperlukan waktu hingga 24 jam agar skor keamanan Anda diperbarui. Selain itu, mengaktifkan Wilayah agregasi baru atau memperbarui Wilayah tertaut akan me-reset skor keamanan yang ada. Diperlukan waktu hingga 24 jam untuk Security Hub CSPM untuk menghasilkan skor keamanan baru yang mencakup data dari Wilayah yang diperbarui.

## Metode penghitungan skor keamanan
<a name="standard-security-score-calculation"></a>

Skor keamanan mewakili proporsi kontrol **Lulus** ke kontrol yang diaktifkan. Skor ditampilkan sebagai persentase yang dibulatkan ke atas atau ke bawah ke bilangan bulat terdekat.

Security Hub CSPM menghitung skor keamanan ringkasan di semua standar yang Anda aktifkan. Security Hub CSPM juga menghitung skor keamanan untuk setiap standar yang diaktifkan. Untuk tujuan perhitungan skor, kontrol yang diaktifkan menyertakan kontrol dengan status **Lulus**, **Gagal**, dan **Tidak Diketahui**. Kontrol dengan status **Tidak ada data** dikecualikan dari perhitungan skor.

Security Hub CSPM mengabaikan temuan yang diarsipkan dan ditekan saat menghitung status kontrol. Ini dapat memengaruhi skor keamanan. Misalnya, jika Anda menekan semua temuan yang gagal untuk kontrol, statusnya menjadi **Lulus**, yang pada gilirannya dapat meningkatkan skor keamanan Anda. Untuk informasi selengkapnya tentang status kontrol, lihat[Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).

**Contoh penilaian:**


| Standar | Kontrol yang lulus | Kontrol gagal | Kontrol tidak diketahui | Skor standar | 
| --- | --- | --- | --- | --- | 
|  AWS Praktik Terbaik Keamanan Dasar v1.0.0  |  168  |  22  |  0  |  88%  | 
|  Tolok Ukur AWS Yayasan CIS v1.4.0  |  8  |  29  |  0  |  22%  | 
|  Tolok Ukur AWS Yayasan CIS v1.2.0  |  6  |  35  |  0  |  15%  | 
|  Publikasi Khusus NIST 800-53 Revisi 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

Saat menghitung skor keamanan ringkasan, Security Hub CSPM menghitung setiap kontrol hanya sekali di seluruh standar. Misalnya, jika Anda telah mengaktifkan kontrol yang berlaku untuk tiga standar yang diaktifkan, itu hanya dihitung sebagai satu kontrol yang diaktifkan untuk tujuan penilaian.

Dalam contoh ini, meskipun jumlah total kontrol yang diaktifkan di seluruh standar yang diaktifkan adalah 528, Security Hub CSPM menghitung setiap kontrol unik hanya sekali untuk tujuan penilaian. Jumlah kontrol unik yang diaktifkan kemungkinan lebih rendah dari 528. Jika kita menganggap jumlah kontrol unik yang diaktifkan adalah 515, dan jumlah kontrol unik yang dilewati adalah 357, skor ringkasan adalah 69%. Skor ini dihitung dengan membagi jumlah kontrol unik yang dilewatkan dengan jumlah kontrol unik yang diaktifkan.

Anda mungkin memiliki skor ringkasan yang berbeda dari skor keamanan standar, meskipun Anda hanya mengaktifkan satu standar di akun Anda di Wilayah saat ini. Hal ini dapat terjadi jika Anda masuk ke akun administrator dan akun anggota memiliki standar tambahan atau standar yang berbeda diaktifkan. Hal ini juga dapat terjadi jika Anda melihat skor dari Wilayah agregasi dan standar tambahan atau standar yang berbeda diaktifkan di Wilayah tertaut.

## Skor keamanan untuk akun administrator
<a name="standard-security-score-admin"></a>

Jika Anda masuk ke akun administrator, skor keamanan ringkasan dan skor standar akun untuk status kontrol di akun administrator dan semua akun anggota.

Jika status kontrol **Gagal** bahkan di satu akun anggota, statusnya **Gagal** di akun administrator dan berdampak pada skor akun administrator.

Jika Anda masuk ke akun administrator dan melihat skor di Wilayah agregasi, skor keamanan akan memperhitungkan status kontrol di semua akun anggota *dan* semua Wilayah yang ditautkan.

## Skor keamanan jika Anda telah menetapkan Wilayah agregasi
<a name="standard-security-aggregation-region"></a>

Jika Anda telah menetapkan agregasi Wilayah AWS, skor keamanan ringkasan dan skor standar memperhitungkan status kontrol di semua Wilayah terkait.

Jika status kontrol **Gagal** bahkan di satu Wilayah tertaut, statusnya **Gagal** di Wilayah agregasi dan berdampak pada skor Wilayah agregasi.

Jika Anda masuk ke akun administrator dan melihat skor di Wilayah agregasi, skor keamanan akan memperhitungkan status kontrol di semua akun anggota *dan* semua Wilayah yang ditautkan.

# Kategori kontrol di Security Hub CSPM
<a name="control-categories"></a>

Setiap kontrol diberi kategori. Kategori untuk kontrol mencerminkan fungsi keamanan yang berlaku untuk kontrol.

Nilai kategori berisi kategori, subkategori dalam kategori, dan, secara opsional, pengklasifikasi dalam subkategori. Contoh:
+ Identifikasi > Inventaris
+ Lindungi > Perlindungan data > Enkripsi data dalam perjalanan

Berikut adalah deskripsi dari kategori, subkategori, dan pengklasifikasi yang tersedia.

## Identifikasi
<a name="control-category-identify"></a>

Mengembangkan pemahaman organisasi untuk mengelola risiko keamanan siber terhadap sistem, aset, data, dan kemampuan.

**Inventaris**  
Sudahkah layanan menerapkan strategi penandaan sumber daya yang benar? Apakah strategi penandaan termasuk pemilik sumber daya?  
Sumber daya apa yang digunakan layanan ini? Apakah mereka menyetujui sumber daya untuk layanan ini?  
Apakah Anda memiliki visibilitas ke inventaris yang disetujui? Misalnya, apakah Anda menggunakan layanan seperti Amazon EC2 Systems Manager dan Service Catalog? 

**Pencatatan log**  
Sudahkah Anda mengaktifkan semua pencatatan yang relevan untuk layanan ini dengan aman? Contoh file log meliputi yang berikut ini:  
+ Log Aliran VPC Amazon
+ Log akses Elastic Load Balancing
+  CloudFront Log Amazon
+  CloudWatch Log Amazon
+ Pencatatan Layanan Basis Data Relasional Amazon
+ Log indeks lambat OpenSearch Layanan Amazon
+ Pelacakan X-Ray
+ AWS Directory Service log
+ AWS Config barang
+ Snapshot

## Lindungi
<a name="control-category-protect"></a>

Mengembangkan dan menerapkan perlindungan yang tepat untuk memastikan penyampaian layanan infrastruktur penting dan praktik pengkodean yang aman.

**Manajemen akses yang aman**  
Apakah layanan menggunakan praktik hak istimewa paling sedikit dalam IAM atau kebijakan sumber dayanya?  
Apakah kata sandi dan rahasia cukup kompleks? Apakah mereka diputar dengan tepat?  
Apakah layanan menggunakan otentikasi multi-faktor (MFA)?  
Apakah layanan menghindari pengguna root?  
Apakah kebijakan berbasis sumber daya memungkinkan akses publik?

**Konfigurasi jaringan aman**  
Apakah layanan menghindari akses jaringan jarak jauh publik dan tidak aman?  
Apakah layanan ini digunakan VPCs dengan benar? Misalnya, apakah pekerjaan diperlukan untuk dijalankan VPCs?  
Apakah layanan mengelompokkan dan mengisolasi sumber daya sensitif dengan benar? 

**Perlindungan data**  
Enkripsi data saat istirahat — Apakah layanan mengenkripsi data saat istirahat?  
Enkripsi data dalam perjalanan — Apakah layanan mengenkripsi data dalam perjalanan?  
Integritas data — Apakah layanan memvalidasi data untuk integritas?  
Perlindungan penghapusan data — Apakah layanan melindungi data dari penghapusan yang tidak disengaja?  
Pengelolaan/penggunaan data — Apakah Anda menggunakan layanan seperti Amazon Macie untuk melacak lokasi data sensitif Anda?

**Perlindungan API**  
Apakah layanan digunakan AWS PrivateLink untuk melindungi operasi API layanan?

**Layanan pelindung**  
Apakah layanan perlindungan yang benar ada? Apakah mereka memberikan jumlah pertanggungan yang benar?  
Layanan pelindung membantu Anda menangkis serangan dan kompromi yang diarahkan pada layanan. Contoh layanan perlindungan AWS termasuk AWS Control Tower,,, Vanta AWS WAF AWS Shield Advanced, Secrets Manager, IAM Access Analyzer, dan. AWS Resource Access Manager

**Pengembangan yang aman**  
Apakah Anda menggunakan praktik pengkodean yang aman?  
Apakah Anda menghindari kerentanan seperti Open Web Application Security Project (OWASP) Top Ten?

## Mendeteksi
<a name="control-category-detect"></a>

Mengembangkan dan menerapkan kegiatan yang sesuai untuk mengidentifikasi terjadinya peristiwa keamanan siber.

**Layanan deteksi**  
Apakah layanan deteksi yang benar ada?  
Apakah mereka memberikan jumlah pertanggungan yang benar?  
Contoh layanan AWS deteksi termasuk Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective CloudWatch , Amazon AWS IoT Device Defender Alarm, dan. AWS Trusted Advisor

## Menanggapi
<a name="control-category-respond"></a>

Mengembangkan dan menerapkan kegiatan yang sesuai untuk mengambil tindakan terkait peristiwa keamanan siber yang terdeteksi.

**Tindakan respons**  
Apakah Anda menanggapi peristiwa keamanan dengan cepat?  
Apakah Anda memiliki temuan kritis atau tingkat keparahan tinggi yang aktif?

**Forensik**  
Bisakah Anda memperoleh data forensik dengan aman untuk layanan ini? Misalnya, apakah Anda memperoleh snapshot Amazon EBS yang terkait dengan temuan positif sejati?  
Sudahkah Anda membuat akun forensik?

## Memulihkan
<a name="control-category-recover"></a>

Mengembangkan dan mengimplementasikan kegiatan yang sesuai untuk mempertahankan rencana ketahanan dan memulihkan kemampuan atau layanan apa pun yang terganggu karena peristiwa keamanan siber.

**Ketahanan**  
Apakah konfigurasi layanan mendukung kegagalan yang anggun, penskalaan elastis, dan ketersediaan tinggi?  
Sudahkah Anda membuat cadangan? 

# Meninjau rincian kontrol di Security Hub CSPM
<a name="securityhub-standards-control-details"></a>

Memilih kontrol pada halaman **Kontrol** atau halaman detail standar konsol CSPM Security Hub akan membawa Anda ke halaman detail kontrol.

Bagian atas halaman detail kontrol menunjukkan status kontrol. Status kontrol merangkum kinerja kontrol berdasarkan status kepatuhan temuan kontrol. Security Hub CSPM biasanya menghasilkan status kontrol awal dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan** di konsol CSPM Security Hub. Status hanya tersedia untuk kontrol yang diaktifkan saat Anda mengunjungi halaman tersebut.

Halaman detail kontrol juga memberikan rincian status kepatuhan dari temuan kontrol selama 24 jam terakhir. Untuk informasi selengkapnya tentang status kontrol dan status kepatuhan, lihat[Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).

AWS Config perekaman sumber daya harus dikonfigurasi agar status kontrol muncul. Setelah status kontrol dibuat untuk pertama kalinya, Security Hub CSPM memperbarui status kontrol setiap 24 jam berdasarkan temuan dari 24 jam sebelumnya.

Akun administrator melihat status kontrol gabungan di seluruh akun administrator dan akun anggota. Jika Anda telah menetapkan Wilayah agregasi, status kontrol mencakup temuan di semua Wilayah tertaut. Untuk informasi selengkapnya tentang status kontrol, lihat[Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).

Anda juga dapat mengaktifkan atau menonaktifkan kontrol dari halaman detail kontrol.

**catatan**  
Ini dapat memakan waktu hingga 24 jam setelah memungkinkan kontrol untuk status kontrol pertama kali yang akan dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Regions

Tab **Standar dan Persyaratan** mencantumkan standar yang dapat diaktifkan oleh kontrol dan persyaratan yang terkait dengan kontrol dari kerangka kerja kepatuhan yang berbeda.

Tab **Cek** mencantumkan temuan aktif untuk kontrol selama 24 jam terakhir. Temuan kontrol dihasilkan dan diperbarui saat Security Hub CSPM menjalankan pemeriksaan keamanan untuk kontrol. Daftar di tab ini tidak menyertakan temuan yang diarsipkan.

Untuk setiap temuan, daftar menyediakan akses untuk menemukan detail seperti status kepatuhan dan sumber daya terkait. Anda juga dapat mengatur status alur kerja setiap temuan dan mengirim temuan ke tindakan kustom. Untuk informasi selengkapnya, lihat [Meninjau dan mengelola temuan kontrol](securityhub-control-manage-findings.md).

## Melihat detail untuk kontrol
<a name="view-control-details-console"></a>

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah ini untuk meninjau detail untuk kontrol. Detail berlaku untuk akun saat ini dan Wilayah dan termasuk yang berikut:
+ Judul dan deskripsi kontrol.
+ Tautan ke panduan remediasi untuk temuan kontrol yang gagal.
+ Tingkat keparahan kontrol.
+ Status kontrol.

Di konsol, Anda juga dapat meninjau daftar temuan terbaru untuk kontrol. Untuk melakukan ini secara terprogram, Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian Security Hub CSPM API.

------
#### [ Security Hub CSPM console ]

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Kontrol** di panel navigasi.

1. Pilih kontrol.

------
#### [ Security Hub CSPM API ]

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`, dan berikan satu atau lebih standar ARNs untuk mendapatkan daftar kontrol IDs untuk standar itu. Untuk mendapatkan standar ARNs, jalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Jika Anda tidak menyediakan ARN standar, API ini mengembalikan semua kontrol CSPM Security Hub. IDs API ini mengembalikan kontrol keamanan agnostik standar IDs, bukan kontrol IDs berbasis standar yang ada sebelum rilis fitur ini.

   **Contoh permintaan:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Jalankan `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` untuk mendapatkan detail tentang satu atau lebih kontrol saat ini Akun AWS dan Wilayah AWS.

   **Contoh permintaan:**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` perintah, dan berikan satu atau lebih standar ARNs untuk mendapatkan daftar kontrol IDs. Untuk mendapatkan standar ARNs, jalankan `describe-standards` perintah. Jika Anda tidak menyediakan ARN standar, perintah ini mengembalikan semua kontrol CSPM Security Hub. IDs Perintah ini mengembalikan kontrol keamanan agnostik standar IDs, bukan kontrol IDs berbasis standar yang ada sebelum rilis fitur ini.

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` perintah untuk mendapatkan detail tentang satu atau lebih kontrol saat ini Akun AWS dan Wilayah AWS.

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# Memfilter dan menyortir kontrol di Security Hub CSPM
<a name="controls-filter-sort"></a>

Di konsol CSPM AWS Security Hub, Anda dapat menggunakan halaman **Kontrol** untuk meninjau tabel kontrol yang tersedia saat ini. Wilayah AWS Pengecualian adalah Wilayah agregasi. Jika Anda [mengonfigurasi Wilayah agregasi](finding-aggregation.md) dan masuk ke Wilayah tersebut, konsol akan menampilkan kontrol yang tersedia di Wilayah agregasi atau satu atau beberapa Wilayah tertaut.

Untuk fokus pada subset kontrol tertentu, Anda dapat mengurutkan dan memfilter tabel kontrol. **Filter menurut** opsi di sebelah tabel dapat membantu Anda dengan cepat fokus pada himpunan bagian tertentu ini:
+ Semua kontrol yang diaktifkan, yang merupakan kontrol yang diaktifkan dalam setidaknya satu standar yang diaktifkan.
+ Semua kontrol yang dinonaktifkan, yang merupakan kontrol yang dinonaktifkan di semua standar.
+ Semua kontrol yang diaktifkan yang memiliki status kontrol tertentu, seperti **Gagal**. Opsi **Tidak ada data** hanya menampilkan kontrol yang saat ini tidak memiliki temuan. Untuk informasi tentang status kontrol, lihat[Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).

Selain **Filter menurut** opsi, Anda dapat memfilter tabel dengan memasukkan kriteria filter di kotak **Kontrol filter** di atas tabel. Misalnya, Anda dapat memfilter berdasarkan ID kontrol atau tingkat keparahan.

Secara default, kontrol dengan status **Gagal** dicantumkan terlebih dahulu, dalam urutan menurun berdasarkan tingkat keparahan. Anda dapat mengubah urutan pengurutan dengan memilih judul kolom yang berbeda.

**Tip**  
Jika Anda memiliki alur kerja otomatis berdasarkan temuan kontrol, sebaiknya gunakan [bidang `SecurityControlId` atau `SecurityControlArn` ASFF](securityhub-findings-format.md) sebagai filter, bukan bidang `Title` atau`Description`. Bidang yang terakhir dapat berubah sesekali, sedangkan ID kontrol dan ARN adalah pengidentifikasi statis.

Jika Anda masuk ke akun administrator CSPM Security Hub, Kontrol yang **diaktifkan** menyertakan kontrol yang diaktifkan di setidaknya satu akun anggota. Jika Anda mengonfigurasi Wilayah agregasi, Kontrol yang **diaktifkan** menyertakan kontrol yang diaktifkan di setidaknya satu Wilayah tertaut.

Jika Anda memilih opsi di sebelah kontrol yang diaktifkan, panel akan muncul dan menampilkan standar di mana kontrol saat ini diaktifkan. Anda juga dapat melihat standar di mana kontrol saat ini dinonaktifkan. Dari panel ini, Anda dapat menonaktifkan kontrol di semua standar. Untuk informasi selengkapnya, lihat [Menonaktifkan kontrol di Security Hub CSPM](disable-controls-overview.md). Untuk akun administrator, informasi di panel mencerminkan pengaturan untuk semua akun anggota Anda.

Untuk mengambil daftar kontrol secara terprogram, Anda dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)pengoperasian Security Hub CSPM API. Untuk mengambil rincian kontrol individu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)operasi.

# Memahami parameter kontrol di Security Hub CSPM
<a name="custom-control-parameters"></a>

Beberapa kontrol di AWS Security Hub CSPM menggunakan parameter yang memengaruhi cara kontrol dievaluasi. Biasanya, kontrol tersebut dievaluasi terhadap nilai parameter default yang didefinisikan oleh Security Hub CSPM. Namun, untuk subset dari kontrol ini, Anda dapat memodifikasi nilai parameter. Saat Anda mengubah nilai parameter kontrol, Security Hub CSPM mulai mengevaluasi kontrol terhadap nilai yang Anda tentukan. Jika sumber daya yang mendasari kontrol memenuhi nilai kustom, Security Hub CSPM menghasilkan temuan. `PASSED` Jika sumber daya tidak memenuhi nilai kustom, Security Hub CSPM akan menghasilkan temuan. `FAILED`

Dengan menyesuaikan parameter kontrol, Anda dapat menyempurnakan praktik terbaik keamanan yang direkomendasikan dan dipantau oleh Security Hub CSPM agar sesuai dengan persyaratan bisnis dan harapan keamanan Anda. Alih-alih menekan temuan untuk kontrol, Anda dapat menyesuaikan satu atau lebih parameternya untuk mendapatkan temuan yang sesuai dengan kebutuhan keamanan Anda.

Berikut adalah beberapa contoh kasus penggunaan untuk memodifikasi parameter kontrol dan menetapkan nilai kustom:
+ **[CloudWatch.16] — grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu**

  Anda dapat menentukan periode waktu retensi.
+ **[IAM.7] — Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat**

  Anda dapat menentukan parameter yang terkait dengan kekuatan kata sandi.
+ **[EC2.18] - Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi**

  Anda dapat menentukan port mana yang diizinkan untuk mengizinkan lalu lintas masuk yang tidak dibatasi.
+ **[Lambda.5] - Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone**

  Anda dapat menentukan jumlah minimum Availability Zones yang menghasilkan temuan yang diteruskan.

Bagian ini mencakup hal-hal yang perlu dipertimbangkan ketika Anda memodifikasi parameter kontrol.

## Pengaruh memodifikasi nilai parameter kontrol
<a name="custom-control-parameters-overview"></a>

Saat Anda mengubah nilai parameter, Anda juga memicu pemeriksaan keamanan baru yang mengevaluasi kontrol berdasarkan nilai baru. Security Hub CSPM kemudian menghasilkan temuan kontrol baru berdasarkan nilai baru. Selama pembaruan berkala untuk mengontrol temuan, Security Hub CSPM juga menggunakan nilai parameter baru. Jika Anda mengubah nilai parameter untuk kontrol, tetapi belum mengaktifkan standar apa pun yang menyertakan kontrol, Security Hub CSPM tidak melakukan pemeriksaan keamanan apa pun menggunakan nilai baru. Anda harus mengaktifkan setidaknya satu standar yang relevan untuk Security Hub CSPM untuk mengevaluasi kontrol berdasarkan nilai parameter baru.

Kontrol dapat memiliki satu atau lebih parameter yang dapat disesuaikan. Jenis data yang mungkin untuk setiap parameter kontrol meliputi yang berikut:
+ Boolean
+ Ganda
+ Enum
+ EnumList
+ Bilangan Bulat
+ IntegerList
+ String
+ StringList

Nilai parameter kustom berlaku di seluruh standar yang diaktifkan. Anda tidak dapat menyesuaikan parameter untuk kontrol yang tidak didukung di Wilayah Anda saat ini. Untuk daftar batas Regional untuk kontrol individu, lihat[Batas regional pada kontrol CSPM Security Hub](regions-controls.md).

Untuk beberapa kontrol, nilai parameter yang dapat diterima harus jatuh ke dalam rentang tertentu agar valid. Dalam kasus ini, Security Hub CSPM menyediakan rentang yang dapat diterima.

Security Hub CSPM memilih nilai parameter default dan terkadang memperbaruinya. Setelah Anda menyesuaikan parameter kontrol, nilainya terus menjadi nilai yang Anda tentukan untuk parameter kecuali Anda mengubahnya. Artinya, parameter berhenti melacak pembaruan ke nilai CSPM Security Hub default, bahkan jika nilai kustom parameter cocok dengan nilai default saat ini yang ditentukan oleh Security Hub CSPM. Berikut adalah contoh untuk kontrol **[ACM.1] - Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah** jangka waktu tertentu:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

Dalam contoh sebelumnya, `daysToExpiration` parameter memiliki nilai kustom. `30` Nilai default saat ini untuk parameter ini juga`30`. Jika Security Hub CSPM mengubah nilai default menjadi`14`, parameter dalam contoh ini tidak akan melacak perubahan tersebut. Ini akan mempertahankan nilai`30`.

Jika Anda ingin melacak pemutakhiran ke nilai CSPM Security Hub default untuk parameter, setel `ValueType` bidang ke `DEFAULT` bukan. `CUSTOM` Untuk informasi selengkapnya, lihat [Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Kontrol yang mendukung parameter khusus
<a name="controls-list-custom-parameters"></a>

Untuk daftar kontrol keamanan yang mendukung parameter kustom, lihat halaman **Kontrol** konsol CSPM Security Hub atau. [Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md) Untuk mengambil daftar ini secara terprogram, Anda dapat menggunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) Dalam respons, `CustomizableProperties` objek menunjukkan kontrol mana yang mendukung parameter yang dapat disesuaikan.

# Meninjau nilai parameter kontrol saat ini
<a name="view-control-parameters"></a>

Akan sangat membantu untuk mengetahui nilai parameter kontrol saat ini sebelum Anda memodifikasinya.

Anda dapat meninjau nilai saat ini untuk parameter kontrol individual di akun Anda. Jika Anda menggunakan konfigurasi pusat, administrator CSPM AWS Security Hub yang didelegasikan juga dapat meninjau nilai parameter yang ditentukan dalam kebijakan konfigurasi.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk meninjau nilai parameter kontrol saat ini.

------
#### [ Security Hub CSPM console ]

**Untuk meninjau nilai parameter kontrol saat ini (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Kontrol**. Pilih kontrol.

1. Pilih tab **Parameter**. Tab ini menunjukkan nilai parameter saat ini untuk kontrol.

------
#### [ Security Hub CSPM API ]

**Untuk meninjau nilai parameter kontrol saat ini (API)**

Panggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API, dan berikan satu atau lebih kontrol keamanan IDs atau ARNs. `Parameters`Objek dalam respons menunjukkan nilai parameter saat ini untuk kontrol yang ditentukan.

Misalnya, AWS CLI perintah berikut menunjukkan nilai parameter saat ini untuk`APIGatway.1`,`CloudWatch.15`, dan`IAM.7`. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Pilih metode pilihan Anda untuk melihat nilai parameter saat ini dalam kebijakan konfigurasi pusat.

------
#### [ Security Hub CSPM console ]

**Untuk meninjau nilai parameter kontrol saat ini dalam kebijakan konfigurasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensil akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pada tab **Kebijakan**, pilih kebijakan konfigurasi, lalu pilih **Lihat detail**. Detail kebijakan kemudian muncul, termasuk nilai parameter saat ini.

------
#### [ Security Hub CSPM API ]

**Untuk meninjau nilai parameter kontrol saat ini dalam kebijakan konfigurasi (API)**

1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.

1. Berikan ARN atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat. Respons mencakup nilai parameter saat ini.

Misalnya, AWS CLI perintah berikut mengambil nilai parameter kontrol saat ini dalam kebijakan konfigurasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

Temuan kontrol juga mencakup nilai parameter kontrol saat ini. Dalam[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md), nilai-nilai ini muncul di `Parameters` bidang `Compliance` objek. Untuk meninjau temuan di konsol CSPM Security Hub, pilih **Temuan** di panel navigasi. Untuk meninjau temuan secara terprogram, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian Security Hub CSPM API.

# Menyesuaikan nilai parameter kontrol
<a name="customize-control-parameters"></a>

Petunjuk untuk menyesuaikan parameter kontrol bervariasi berdasarkan apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di AWS Security Hub CSPM. Konfigurasi pusat adalah fitur yang dapat digunakan oleh administrator CSPM Security Hub yang didelegasikan untuk mengonfigurasi kapabilitas CSPM Security Hub di seluruh Wilayah AWS, akun, dan unit organisasi (). OUs

Jika organisasi Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi yang menyertakan parameter kontrol kustom. Kebijakan ini dapat dikaitkan dengan akun anggota yang dikelola secara terpusat dan OUs, dan berlaku di Wilayah asal Anda dan semua Wilayah yang ditautkan. Administrator yang didelegasikan juga dapat menetapkan satu atau lebih akun sebagai dikelola sendiri, yang memungkinkan pemilik akun untuk mengonfigurasi parameternya sendiri secara terpisah di setiap Wilayah. Jika organisasi Anda tidak menggunakan konfigurasi pusat, Anda harus menyesuaikan parameter kontrol secara terpisah di setiap akun dan Wilayah.

Sebaiknya gunakan konfigurasi pusat karena memungkinkan Anda menyelaraskan nilai parameter kontrol di berbagai bagian organisasi Anda. Misalnya, semua akun pengujian Anda mungkin menggunakan nilai parameter tertentu, dan semua akun produksi mungkin menggunakan nilai yang berbeda.

## Menyesuaikan parameter kontrol di beberapa akun dan Wilayah
<a name="customize-control-parameters-central-config"></a>

Jika Anda adalah administrator CSPM Security Hub yang didelegasikan untuk organisasi yang menggunakan konfigurasi pusat, pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menyesuaikan parameter kontrol di beberapa akun dan Wilayah.

------
#### [ Security Hub CSPM console ]

**Untuk menyesuaikan nilai parameter kontrol di beberapa akun dan Wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Pastikan Anda masuk ke Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**.

1. Untuk membuat kebijakan konfigurasi baru yang menyertakan parameter kustom, pilih **Buat kebijakan**. Untuk menentukan parameter kustom dalam kebijakan konfigurasi yang ada, pilih kebijakan, lalu pilih **Edit**.

   **Untuk membuat kebijakan konfigurasi baru dengan nilai parameter kontrol kustom**

   1. Di bagian **Kebijakan kustom**, pilih standar keamanan dan kontrol yang ingin Anda aktifkan.

   1. Pilih **Sesuaikan parameter kontrol**.

   1. Pilih kontrol, lalu tentukan nilai kustom untuk satu atau beberapa parameter.

   1. Untuk menyesuaikan parameter untuk kontrol lainnya, pilih **Sesuaikan kontrol tambahan**.

   1. Di bagian **Akun**, pilih akun atau OUs yang ingin Anda terapkan kebijakan.

   1. Pilih **Berikutnya**.

   1. Pilih **Buat kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.

   **Untuk menyesuaikan nilai parameter kontrol dalam kebijakan konfigurasi yang ada**

   1. Di bagian **Kontrol**, di bawah **Kebijakan khusus**, tentukan nilai parameter kustom baru yang Anda inginkan.

   1. Jika ini adalah pertama kalinya Anda menyesuaikan parameter kontrol dalam kebijakan ini, pilih **Sesuaikan parameter kontrol**, lalu pilih kontrol untuk disesuaikan. Untuk menyesuaikan parameter untuk kontrol lainnya, pilih **Sesuaikan kontrol tambahan**.

   1. Di bagian **Akun**, verifikasi akun atau kebijakan OUs yang ingin Anda terapkan.

   1. Pilih **Berikutnya**.

   1. Tinjau perubahan Anda, dan verifikasi bahwa perubahan tersebut benar. Setelah selesai, pilih **Simpan kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.

------
#### [ Security Hub CSPM API ]

**Untuk menyesuaikan nilai parameter kontrol di beberapa akun dan Wilayah (API)**

**Untuk membuat kebijakan konfigurasi baru dengan nilai parameter kontrol kustom**

1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.

1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda sesuaikan.

1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. `Value`Bidang tidak bisa kosong kapan `ValueType` ada`CUSTOM`. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

**Untuk menyesuaikan nilai parameter kontrol dalam kebijakan konfigurasi yang ada**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.

1. Untuk `Identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.

1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda sesuaikan.

1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

Misalnya, AWS CLI perintah berikut membuat kebijakan konfigurasi baru dengan nilai kustom untuk `daysToExpiration` parameter`ACM.1`. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Menyesuaikan parameter kontrol dalam satu akun dan Wilayah
<a name="customize-control-parameters-local-config"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda dapat menyesuaikan parameter kontrol untuk akun Anda di satu Wilayah pada satu waktu saja.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menyesuaikan parameter kontrol. Perubahan Anda hanya berlaku untuk akun Anda di Wilayah saat ini. Untuk menyesuaikan parameter kontrol di Wilayah tambahan, ulangi langkah-langkah berikut di setiap akun tambahan dan Wilayah tempat Anda ingin menyesuaikan parameter. Kontrol yang sama dapat menggunakan nilai parameter yang berbeda di Wilayah yang berbeda.

------
#### [ Security Hub CSPM console ]

**Untuk menyesuaikan nilai parameter kontrol dalam satu akun dan Wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Kontrol**. Dalam tabel, pilih kontrol yang mendukung parameter khusus dan Anda ingin mengubah parameternya. Kolom **parameter Kustom** menunjukkan kontrol mana yang mendukung parameter kustom.

1. Pada halaman detail untuk kontrol, pilih tab **Parameter**, lalu pilih **Edit**.

1. Tentukan nilai parameter yang Anda inginkan.

1. Secara opsional, di bagian **Alasan perubahan**, pilih alasan untuk menyesuaikan parameter.

1. Pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

**Untuk menyesuaikan nilai parameter kontrol dalam satu akun dan Wilayah (API)**

1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Untuk`SecurityControlId`, berikan ID kontrol yang ingin Anda sesuaikan.

1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.

1. Secara opsional`LastUpdateReason`, untuk, berikan alasan untuk menyesuaikan parameter kontrol.

Misalnya, AWS CLI perintah berikut mendefinisikan nilai kustom untuk `daysToExpiration` parameter. `ACM.1` Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Mengembalikan ke nilai parameter kontrol default
<a name="revert-default-parameter-values"></a>

Parameter kontrol dapat memiliki nilai default yang didefinisikan oleh AWS Security Hub CSPM. Terkadang, Security Hub CSPM memperbarui nilai default untuk parameter untuk mencerminkan praktik terbaik keamanan yang berkembang. Jika Anda belum menentukan nilai kustom untuk parameter kontrol, kontrol secara otomatis melacak pembaruan tersebut dan menggunakan nilai default yang baru.

Anda dapat kembali menggunakan nilai parameter default untuk kontrol. Petunjuk untuk pengembalian bergantung pada apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di Security Hub CSPM. Konfigurasi pusat adalah fitur yang dapat digunakan oleh administrator CSPM Security Hub yang didelegasikan untuk mengonfigurasi kapabilitas CSPM Security Hub di seluruh akun Wilayah AWS, dan unit organisasi (). OUs

**catatan**  
Tidak semua parameter kontrol memiliki nilai CSPM Security Hub default. Dalam kasus seperti itu, ketika `ValueType` disetel ke`DEFAULT`, tidak ada nilai default tertentu yang digunakan CSPM Security Hub. Sebaliknya, Security Hub CSPM mengabaikan parameter tanpa adanya nilai khusus.

## Mengembalikan ke parameter kontrol default di beberapa akun dan Wilayah
<a name="revert-default-parameter-values-central-config"></a>

Jika Anda menggunakan konfigurasi pusat, Anda dapat mengembalikan parameter kontrol untuk beberapa akun yang dikelola secara terpusat dan OUs di Wilayah beranda dan Wilayah yang ditautkan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk kembali ke nilai parameter default di beberapa akun dan Wilayah menggunakan konfigurasi pusat.

------
#### [ Security Hub CSPM console ]

**Untuk kembali ke nilai parameter kontrol default di beberapa akun dan Wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan**.

1. Pilih kebijakan, lalu pilih **Edit**. 

1. Di bawah **Kebijakan khusus**, bagian **Kontrol** menampilkan daftar kontrol yang Anda tetapkan untuk parameter kustom.

1. Temukan kontrol yang memiliki satu atau lebih nilai parameter untuk dikembalikan. Kemudian, pilih **Hapus** untuk kembali ke nilai default.

1. Di bagian **Akun**, verifikasi akun atau kebijakan OUs yang ingin Anda terapkan.

1. Pilih **Berikutnya**.

1. Tinjau perubahan Anda, dan verifikasi bahwa perubahan tersebut benar. Setelah selesai, pilih **Simpan kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.

------
#### [ Security Hub CSPM API ]

**Untuk kembali ke nilai parameter kontrol default di beberapa akun dan Wilayah (API)**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.

1. Untuk `Identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan yang ingin Anda perbarui.

1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda kembalikan satu atau beberapa parameter.

1. Dalam `Parameters` objek, untuk setiap parameter yang ingin Anda kembalikan, sediakan `DEFAULT` untuk `ValueType` bidang. Ketika `ValueType` diatur ke`DEFAULT`, Anda tidak perlu memberikan nilai untuk `Value` bidang tersebut. Jika nilai disertakan dalam permintaan Anda, Security Hub CSPM mengabaikannya. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini.

**Awas**  
Jika Anda menghilangkan objek kontrol dari `SecurityControlCustomParameters` bidang, Security Hub CSPM mengembalikan semua parameter kustom untuk kontrol ke nilai defaultnya. Daftar yang benar-benar kosong untuk `SecurityControlCustomParameters` mengembalikan parameter kustom untuk semua kontrol ke nilai defaultnya.

Misalnya, AWS CLI perintah berikut mengembalikan parameter `daysToExpiration` kontrol `ACM.1` ke nilai defaultnya dalam kebijakan konfigurasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah
<a name="revert-default-parameter-values-local-config"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda dapat kembali menggunakan nilai parameter default untuk akun Anda di satu Wilayah pada satu waktu.

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk kembali ke nilai parameter default untuk akun Anda di satu Wilayah. Untuk kembali ke nilai parameter default di Wilayah tambahan, ulangi langkah-langkah ini di setiap Wilayah tambahan.

**catatan**  
Jika Anda menonaktifkan Security Hub CSPM, parameter kontrol kustom Anda akan diatur ulang. Jika Anda mengaktifkan Security Hub CSPM lagi di masa mendatang, semua kontrol akan menggunakan nilai parameter default untuk memulai.

------
#### [ Security Hub CSPM console ]

**Untuk kembali ke nilai parameter kontrol default dalam satu akun dan Wilayah (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Kontrol**. Pilih kontrol yang ingin Anda kembalikan ke nilai parameter default.

1. Pada `Parameters` tab, pilih **Disesuaikan** di sebelah parameter kontrol. Kemudian, pilih **Hapus kustomisasi**. Parameter ini sekarang menggunakan nilai CSPM Security Hub default dan melacak pembaruan masa depan ke nilai default.

1. Ulangi langkah sebelumnya untuk setiap nilai parameter yang ingin Anda kembalikan.

------
#### [ Security Hub CSPM API ]

**Untuk kembali ke nilai parameter kontrol default dalam satu akun dan Wilayah (API)**

1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Untuk`SecurityControlId`, berikan ARN atau ID kontrol yang parameternya ingin Anda kembalikan.

1. Dalam `Parameters` objek, untuk setiap parameter yang ingin Anda kembalikan, sediakan `DEFAULT` untuk `ValueType` bidang. Ketika `ValueType` diatur ke`DEFAULT`, Anda tidak perlu memberikan nilai untuk `Value` bidang tersebut. Jika nilai disertakan dalam permintaan Anda, Security Hub CSPM mengabaikannya.

1. Secara opsional, untuk`LastUpdateReason`, berikan alasan untuk kembali ke nilai parameter default.

Misalnya, AWS CLI perintah berikut mengembalikan parameter `daysToExpiration` kontrol `ACM.1` ke nilai defaultnya. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Memeriksa status perubahan parameter kontrol
<a name="parameter-update-status"></a>

Ketika Anda mencoba untuk menyesuaikan parameter kontrol atau kembali ke nilai default, Anda dapat memvalidasi apakah perubahan yang diinginkan efektif. Ini membantu memastikan bahwa kontrol berfungsi seperti yang Anda harapkan dan memberikan nilai keamanan yang diinginkan. Jika pemutakhiran parameter tidak berhasil, Security Hub CSPM mempertahankan nilai saat ini untuk parameter tersebut.

Untuk memverifikasi bahwa pembaruan parameter berhasil, Anda dapat meninjau detail kontrol pada konsol CSPM Security Hub. Di konsol, pilih **Kontrol** pada panel navigasi. Kemudian, pilih kontrol untuk menampilkan detailnya. Tab **Parameter** menunjukkan status perubahan parameter.

Secara terprogram, jika permintaan Anda untuk memperbarui parameter valid, nilai `UpdateStatus` `UPDATING` bidang adalah respons terhadap operasi. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) Ini berarti bahwa pembaruan itu valid, tetapi semua temuan mungkin belum menyertakan nilai parameter yang diperbarui. Ketika nilai `UpdateState` berubah`READY`, Security Hub CSPM menggunakan nilai parameter kontrol yang diperbarui saat menjalankan pemeriksaan keamanan kontrol. Temuan termasuk nilai parameter yang diperbarui.

`UpdateSecurityControl`Operasi mengembalikan `InvalidInputException` respons untuk nilai parameter yang tidak valid. Tanggapan tersebut memberikan rincian tambahan tentang alasan kegagalan. Misalnya, Anda mungkin telah menetapkan nilai yang berada di luar rentang yang valid untuk parameter. Atau, Anda mungkin telah menentukan nilai yang tidak menggunakan tipe data yang benar. Kirim permintaan Anda lagi dengan masukan yang valid.

Jika terjadi kegagalan internal saat Anda mencoba memperbarui nilai parameter, Security Hub CSPM akan mencoba ulang secara otomatis jika Anda telah mengaktifkannya. AWS Config Lihat informasi yang lebih lengkap di [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

# Meninjau dan mengelola temuan kontrol di Security Hub CSPM
<a name="securityhub-control-manage-findings"></a>

Halaman detail kontrol menampilkan daftar temuan aktif untuk kontrol. Daftar ini tidak termasuk temuan yang diarsipkan.

Halaman detail kontrol mendukung agregasi lintas wilayah. Jika Anda telah menetapkan Wilayah agregasi, status kontrol dan daftar pemeriksaan keamanan pada halaman detail kontrol mencakup pemeriksaan dari semua yang ditautkan Wilayah AWS.

Daftar ini menyediakan alat untuk memfilter dan mengurutkan temuan, sehingga Anda dapat fokus pada temuan yang lebih mendesak terlebih dahulu. Temuan dapat mencakup tautan ke detail sumber daya di konsol layanan terkait. Untuk kontrol yang didasarkan pada AWS Config aturan, Anda dapat melihat detail tentang aturan.

Anda juga dapat menggunakan AWS Security Hub CSPM API untuk mengambil daftar temuan dan menemukan detail.

Untuk informasi selengkapnya, lihat [Meninjau detail dan riwayat penemuan](securityhub-findings-viewing.md#finding-view-details-console).

Untuk mencerminkan status investigasi Anda saat ini atas temuan kontrol, Anda menetapkan status alur kerja. Untuk informasi selengkapnya, lihat [Menetapkan status alur kerja temuan di Security Hub CSPM](findings-workflow-status.md).

Anda juga dapat mengirim temuan CSPM Security Hub yang dipilih ke tindakan kustom di Amazon. EventBridge Untuk informasi selengkapnya, lihat [Mengirim temuan ke tindakan CSPM Security Hub kustom](findings-custom-action.md).

**Topics**
+ [Penyaringan dan penyortiran temuan kontrol](control-finding-list.md)
+ [Sampel temuan kontrol](sample-control-findings.md)

# Penyaringan dan penyortiran temuan kontrol
<a name="control-finding-list"></a>

Memilih kontrol dari halaman **Kontrol** konsol CSPM AWS Security Hub atau dari halaman detail standar akan membawa Anda ke halaman detail kontrol.

Halaman detail kontrol menunjukkan judul dan deskripsi kontrol, status kontrol keseluruhan, dan rincian pemeriksaan keamanan untuk kontrol dalam 24 jam terakhir.

Gunakan opsi **Filter menurut** di samping daftar pemeriksaan kontrol untuk dengan cepat fokus pada temuan dengan [status alur kerja atau status](findings-workflow-status.md) [kepatuhan](controls-overall-status.md#controls-overall-status-compliance-status) tertentu.

Selain opsi **Filter menurut**, Anda dapat menggunakan kotak **Tambahkan filter** untuk memfilter daftar centang menurut bidang lain, seperti Akun AWS ID atau ID sumber daya.

Secara default, temuan dengan status kepatuhan **LULUS** dicantumkan terlebih dahulu. Anda dapat mengubah penyortiran default dengan memilih opsi yang berbeda di header kolom.

Dari halaman detail kontrol, Anda dapat memilih **Unduh** untuk mengunduh halaman temuan kontrol saat ini ke file.csv.

Jika Anda memfilter daftar temuan, maka unduhan hanya menyertakan kontrol yang cocok dengan filter. Jika Anda memilih temuan spesifik dari daftar, maka unduhan hanya menyertakan temuan yang dipilih.

Untuk informasi lebih lanjut tentang temuan penyaringan, lihat[Penyaringan temuan di Security Hub CSPM](securityhub-findings-manage.md).

# Sampel temuan kontrol
<a name="sample-control-findings"></a>

Sampel berikut memberikan contoh temuan kontrol CSPM AWS Security Hub dalam AWS Security Finding Format (ASFF). Isi temuan kontrol bervariasi tergantung pada apakah Anda mengaktifkan temuan kontrol konsolidasi.

Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub CSPM menghasilkan satu temuan untuk kontrol, bahkan jika kontrol tersebut berlaku untuk beberapa standar yang diaktifkan. Jika Anda tidak mengaktifkan fitur ini, Security Hub CSPM akan menghasilkan temuan kontrol terpisah untuk setiap standar yang diaktifkan yang diterapkan kontrol. Misalnya, jika Anda mengaktifkan dua standar dan kontrol berlaku untuk keduanya, Anda menerima dua temuan terpisah untuk kontrol, satu untuk setiap standar. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan untuk kontrol. Untuk informasi selengkapnya, lihat [Temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

Sampel di halaman ini memberikan contoh untuk kedua skenario. Sampel meliputi: temuan kontrol untuk standar CSPM Security Hub individu ketika temuan kontrol konsolidasi dinonaktifkan, dan temuan kontrol untuk beberapa standar CSPM Security Hub ketika temuan kontrol konsolidasi diaktifkan.

**Topics**
+ [Temuan sampel untuk standar Praktik Terbaik Keamanan AWS Dasar](#sample-finding-fsbp)
+ [Temuan sampel untuk CIS AWS Foundations Benchmark v5.0.0](#sample-finding-cis-5)
+ [Temuan sampel untuk CIS AWS Foundations Benchmark v3.0.0](#sample-finding-cis-3)
+ [Temuan sampel untuk CIS AWS Foundations Benchmark v1.4.0](#sample-finding-cis-1.4)
+ [Temuan sampel untuk CIS AWS Foundations Benchmark v1.2.0](#sample-finding-cis-1.2)
+ [Temuan sampel untuk standar NIST SP 800-53 Revisi 5](#sample-finding-nist-800-53)
+ [Temuan sampel untuk standar NIST SP 800-171 Revisi 2](#sample-finding-nist-800-171)
+ [Temuan sampel untuk Standar Keamanan Data Industri Kartu Pembayaran v3.2.1](#sample-finding-pcidss-v321)
+ [Temuan sampel untuk standar AWS Resource Tagging](#sample-finding-tagging)
+ [Temuan sampel untuk standar yang AWS Control Tower dikelola layanan](#sample-finding-service-managed-aws-control-tower)
+ [Sampel temuan konsolidasi untuk beberapa standar](#sample-finding-consolidation)

**catatan**  
Temuan kontrol mengacu pada berbagai bidang dan nilai di Wilayah dan AWS GovCloud (US) Wilayah Tiongkok. Untuk informasi selengkapnya, lihat [Dampak konsolidasi pada bidang dan nilai ASFF](asff-changes-consolidation.md).

## Temuan sampel untuk standar Praktik Terbaik Keamanan AWS Dasar
<a name="sample-finding-fsbp"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk standar Praktik Terbaik Keamanan AWS Dasar (FSBP). Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## Temuan sampel untuk CIS AWS Foundations Benchmark v5.0.0
<a name="sample-finding-cis-5"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk CIS AWS Foundations Benchmark v5.0.0. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## Temuan sampel untuk CIS AWS Foundations Benchmark v3.0.0
<a name="sample-finding-cis-3"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk CIS AWS Foundations Benchmark v3.0.0. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## Temuan sampel untuk CIS AWS Foundations Benchmark v1.4.0
<a name="sample-finding-cis-1.4"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk CIS AWS Foundations Benchmark v1.4.0. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Temuan sampel untuk CIS AWS Foundations Benchmark v1.2.0
<a name="sample-finding-cis-1.2"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk CIS AWS Foundations Benchmark v1.2.0. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## Temuan sampel untuk standar NIST SP 800-53 Revisi 5
<a name="sample-finding-nist-800-53"></a>

Sampel berikut memberikan contoh temuan untuk kontrol yang berlaku untuk standar NIST SP 800-53 Revisi 5. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## Temuan sampel untuk standar NIST SP 800-171 Revisi 2
<a name="sample-finding-nist-800-171"></a>

Sampel berikut memberikan contoh temuan untuk kontrol yang berlaku untuk standar NIST SP 800-171 Revisi 2. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## Temuan sampel untuk Standar Keamanan Data Industri Kartu Pembayaran v3.2.1
<a name="sample-finding-pcidss-v321"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk Payment Card Industry Data Security Standard (PCI DSS) v3.2.1. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## Temuan sampel untuk standar AWS Resource Tagging
<a name="sample-finding-tagging"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk standar AWS Resource Tagging. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## Temuan sampel untuk standar yang AWS Control Tower dikelola layanan
<a name="sample-finding-service-managed-aws-control-tower"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk standar yang AWS Control Tower dikelola layanan. Dalam sampel ini, temuan kontrol konsolidasi dinonaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## Sampel temuan konsolidasi untuk beberapa standar
<a name="sample-finding-consolidation"></a>

Contoh berikut memberikan contoh temuan untuk kontrol yang berlaku untuk beberapa standar yang diaktifkan. Dalam sampel ini, temuan kontrol terkonsolidasi diaktifkan.

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```

# Memahami integrasi dalam Security Hub CSPM
<a name="securityhub-findings-providers"></a>

AWS Security Hub CSPM dapat menyerap temuan keamanan dari beberapa Layanan AWS solusi keamanan pihak ketiga AWS Partner Network yang didukung. Integrasi ini dapat membantu Anda mendapatkan pandangan komprehensif tentang keamanan dan kepatuhan di seluruh AWS lingkungan Anda. Security Hub CSPM menyerap temuan dari solusi terintegrasi dan mengubahnya menjadi AWS Security Finding Format (ASFF).

**penting**  
Untuk integrasi produk yang didukung AWS dan pihak ketiga, Security Hub CSPM menerima dan mengkonsolidasikan temuan yang dihasilkan hanya setelah Anda mengaktifkan CSPM Security Hub untuk Anda. Akun AWS Layanan tidak secara surut menerima dan mengkonsolidasikan temuan keamanan yang dihasilkan sebelum Anda mengaktifkan CSPM Security Hub.

Halaman **Integrasi** konsol CSPM Security Hub menyediakan akses ke integrasi produk yang tersedia AWS dan pihak ketiga. Security Hub CSPM API juga memiliki operasi untuk mengelola integrasi.

Integrasi mungkin tidak tersedia di semua Wilayah AWS. Jika integrasi tidak didukung di Wilayah tempat Anda masuk saat ini di konsol CSPM Security Hub, integrasi tidak akan muncul di halaman **Integrasi** konsol. Untuk daftar integrasi yang tersedia di Wilayah Tiongkok dan AWS GovCloud (US) Regions, lihat. [Ketersediaan integrasi menurut Wilayah](securityhub-regions.md#securityhub-regions-integration-support)

Selain integrasi pihak ketiga bawaan, Anda dapat mengintegrasikan produk keamanan khusus dengan Security Hub CSPM. Layanan AWS Anda kemudian dapat mengirim temuan dari produk ini ke Security Hub CSPM dengan menggunakan Security Hub CSPM API. Anda juga dapat menggunakan API untuk memperbarui temuan yang sudah ada yang diterima CSPM Security Hub dari produk keamanan khusus.

**Topics**
+ [Meninjau daftar integrasi CSPM Security Hub](securityhub-integrations-view-filter.md)
+ [Mengaktifkan alur temuan dari integrasi CSPM Security Hub](securityhub-integration-enable.md)
+ [Menonaktifkan alur temuan dari integrasi CSPM Security Hub](securityhub-integration-disable.md)
+ [Melihat temuan dari integrasi CSPM Security Hub](securityhub-integration-view-findings.md)
+ [Layanan AWS integrasi dengan Security Hub CSPM](securityhub-internal-providers.md)
+ [Integrasi produk pihak ketiga dengan Security Hub CSPM](securityhub-partner-providers.md)
+ [Mengintegrasikan Security Hub CSPM dengan produk khusus](securityhub-custom-providers.md)

# Meninjau daftar integrasi CSPM Security Hub
<a name="securityhub-integrations-view-filter"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk meninjau daftar integrasi di AWS Security Hub CSPM atau detail tentang integrasi tertentu.

------
#### [ Security Hub CSPM console ]

**Untuk meninjau opsi dan detail integrasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Di panel navigasi CSPM Security Hub, pilih Integrasi.**

Pada halaman **Integrasi**, integrasi dengan yang lain Layanan AWS tercantum terlebih dahulu, diikuti oleh integrasi dengan produk pihak ketiga.

Untuk setiap integrasi, halaman **Integrasi** memberikan informasi berikut:
+ Nama perusahaan
+ Nama produk
+ Deskripsi integrasi
+ Kategori yang diterapkan integrasi
+ Cara mengaktifkan integrasi
+ Status integrasi saat ini

Anda dapat memfilter daftar dengan memasukkan teks dari bidang berikut:
+ Nama perusahaan
+ Nama produk
+ Deskripsi integrasi
+ Kategori

------
#### [ Security Hub CSPM API ]

**Untuk meninjau opsi dan detail integrasi (API)**

Untuk mendapatkan daftar integrasi, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)perintah.

Untuk mengambil detail untuk integrasi produk tertentu, gunakan `ProductArn` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) integrasi.

Misalnya, AWS CLI perintah berikut mengambil rincian tentang integrasi CSPM Security Hub dengan 3. CORESec

```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```

------

# Mengaktifkan alur temuan dari integrasi CSPM Security Hub
<a name="securityhub-integration-enable"></a>

Pada halaman **Integrasi** konsol CSPM AWS Security Hub, Anda dapat melihat langkah-langkah yang diperlukan untuk mengaktifkan setiap integrasi.

Untuk sebagian besar integrasi dengan yang lain Layanan AWS, satu-satunya langkah yang diperlukan untuk mengaktifkan integrasi adalah mengaktifkan layanan lainnya. Informasi integrasi mencakup tautan ke halaman beranda layanan lain. Saat Anda mengaktifkan layanan lain, izin tingkat sumber daya yang memungkinkan CSPM Security Hub menerima temuan dari layanan kemudian dibuat dan diterapkan secara otomatis.

Untuk integrasi produk pihak ketiga, Anda mungkin perlu membeli integrasi dari AWS Marketplace, dan kemudian mengkonfigurasi integrasi. Informasi integrasi menyediakan tautan untuk menyelesaikan tugas-tugas ini.

Jika lebih dari satu versi produk tersedia AWS Marketplace, pilih versi yang ingin Anda berlangganan, lalu pilih **Lanjutkan Berlangganan**. Misalnya, beberapa produk menawarkan versi standar dan AWS GovCloud (US) versi.

Saat Anda mengaktifkan integrasi produk, kebijakan sumber daya secara otomatis dilampirkan ke langganan produk tersebut. Kebijakan sumber daya ini menentukan izin yang dibutuhkan CSPM Security Hub untuk menerima temuan dari produk tersebut.

Setelah Anda menyelesaikan langkah-langkah awal untuk mengaktifkan integrasi, Anda kemudian dapat menonaktifkan dan mengaktifkan kembali aliran temuan dari integrasi itu. Pada halaman **Integrasi**, untuk integrasi yang mengirimkan temuan, informasi **Status** menunjukkan apakah Anda saat ini menerima temuan.

------
#### [ Security Hub CSPM console ]

**Untuk mengaktifkan aliran temuan dari integrasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Di panel navigasi CSPM Security Hub, pilih Integrasi.**

1. Untuk integrasi yang mengirimkan temuan, informasi **Status** menunjukkan apakah Security Hub CSPM saat ini menerima temuan dari integrasi tersebut.

1. Pilih **Terima temuan**.

------
#### [ Security Hub CSPM API ]

Gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)perintah. Untuk mengaktifkan Security Hub menerima temuan dari integrasi, Anda memerlukan ARN produk. Untuk mendapatkan integrasi yang tersedia, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)operasi. ARNs Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html).

Misalnya, AWS CLI perintah berikut memungkinkan Security Hub CSPM untuk menerima temuan dari integrasi CrowdStrike Falcon. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```

------

# Menonaktifkan alur temuan dari integrasi CSPM Security Hub
<a name="securityhub-integration-disable"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menonaktifkan alur temuan dari integrasi CSPM AWS Security Hub.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan aliran temuan dari integrasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Di panel navigasi CSPM Security Hub, pilih Integrasi.**

1. Untuk integrasi yang mengirimkan temuan, informasi **Status** menunjukkan apakah Security Hub CSPM saat ini menerima temuan dari integrasi tersebut.

1. Pilih **Berhenti menerima temuan**.

------
#### [ Security Hub CSPM API ]

Gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)perintah. Untuk menonaktifkan aliran temuan dari integrasi, Anda memerlukan ARN berlangganan untuk integrasi yang diaktifkan. Untuk mendapatkan ARN berlangganan, gunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html) Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html).

Misalnya, AWS CLI perintah berikut menonaktifkan aliran temuan ke Security Hub CSPM dari integrasi Falcon. CrowdStrike Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```

------

# Melihat temuan dari integrasi CSPM Security Hub
<a name="securityhub-integration-view-findings"></a>

**Saat Anda mulai menerima temuan dari integrasi CSPM AWS Security Hub, halaman **Integrasi** konsol CSPM Security Hub menampilkan **Status** integrasi sebagai Menerima temuan.** Untuk meninjau daftar temuan dari integrasi, pilih **Lihat temuan**.

Daftar temuan menunjukkan temuan aktif untuk integrasi yang dipilih yang memiliki status alur kerja `NEW` atau`NOTIFIED`.

Jika Anda mengaktifkan agregasi lintas wilayah, maka di Wilayah agregasi, daftar tersebut mencakup temuan dari Wilayah agregasi dan dari Wilayah tertaut tempat integrasi diaktifkan. Security Hub tidak secara otomatis mengaktifkan integrasi berdasarkan konfigurasi agregasi lintas wilayah.

Di Wilayah lain, daftar temuan untuk integrasi hanya berisi temuan dari Wilayah saat ini.

Untuk informasi tentang cara mengonfigurasi agregasi lintas wilayah, lihat. [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md)

Dari daftar temuan, Anda dapat melakukan tindakan berikut.
+ [Ubah filter dan pengelompokan untuk daftar](securityhub-findings-manage.md)
+ [Lihat detail untuk temuan individu](securityhub-findings-viewing.md#finding-view-details-console)
+ [Perbarui status alur kerja temuan](findings-workflow-status.md)
+ [Kirim temuan ke tindakan khusus](findings-custom-action.md)

# Layanan AWS integrasi dengan Security Hub CSPM
<a name="securityhub-internal-providers"></a>

AWS Security Hub CSPM mendukung integrasi dengan beberapa lainnya. Layanan AWS Integrasi ini dapat membantu Anda mendapatkan pandangan komprehensif tentang keamanan dan kepatuhan di seluruh AWS lingkungan Anda.

Kecuali dinyatakan lain di bawah ini, Layanan AWS integrasi yang mengirimkan temuan ke Security Hub CSPM diaktifkan secara otomatis setelah Anda mengaktifkan Security Hub CSPM dan layanan lainnya. Integrasi yang menerima temuan CSPM Security Hub mungkin memerlukan langkah tambahan untuk aktivasi. Tinjau informasi tentang setiap integrasi untuk mempelajari lebih lanjut.

Beberapa integrasi tidak tersedia di semua Wilayah AWS. Di konsol CSPM Security Hub, integrasi tidak akan muncul di halaman **Integrasi** jika tidak didukung di Wilayah saat ini. Untuk daftar integrasi yang tersedia di Wilayah Tiongkok dan AWS GovCloud (US) Regions, lihat. [Ketersediaan integrasi menurut Wilayah](securityhub-regions.md#securityhub-regions-integration-support)

## Ikhtisar integrasi AWS layanan dengan Security Hub CSPM
<a name="internal-integrations-summary"></a>

Tabel berikut memberikan ikhtisar AWS layanan yang mengirimkan temuan ke Security Hub CSPM atau menerima temuan dari Security Hub CSPM.


|  AWS Layanan terintegrasi | Arahan | 
| --- | --- | 
|  [AWS Config](#integration-config)  |  Mengirim temuan  | 
|  [AWS Firewall Manager](#integration-aws-firewall-manager)  |  Mengirim temuan  | 
|  [Amazon GuardDuty](#integration-amazon-guardduty)  |  Mengirim temuan  | 
|  [AWS Health](#integration-health)  |  Mengirim temuan  | 
|  [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer)  |  Mengirim temuan  | 
|  [Amazon Inspector](#integration-amazon-inspector)  |  Mengirim temuan  | 
|  [AWS IoT Device Defender](#integration-iot-device-defender)  |  Mengirim temuan  | 
|  [Amazon Macie](#integration-amazon-macie)  |  Mengirim temuan  | 
|  [Amazon Route 53 Resolver Firewall DNS](#integration-amazon-r53rdnsfirewall)  |  Mengirim temuan  | 
|  [AWS Systems Manager Manajer Patch](#patch-manager)  |  Mengirim temuan  | 
|  [AWS Audit Manager](#integration-aws-audit-manager)  |  Menerima temuan  | 
|  [Amazon Q Developer dalam aplikasi obrolan](#integration-chatbot)  |  Menerima temuan  | 
|  [Amazon Detective](#integration-amazon-detective)  |  Menerima temuan  | 
|  [Amazon Security Lake](#integration-security-lake)  |  Menerima temuan  | 
|  [AWS Systems Manager Penjelajah dan OpsCenter](#integration-ssm-explorer-opscenter)  |  Menerima dan memperbarui temuan  | 
|  [AWS Trusted Advisor](#integration-trusted-advisor)  |  Menerima temuan  | 

## Layanan AWS yang mengirimkan temuan ke Security Hub CSPM
<a name="integrations-internal-send"></a>

Berikut ini Layanan AWS terintegrasi dengan dan dapat mengirimkan temuan ke Security Hub CSPM. Security Hub CSPM mengubah temuan ke [AWS Security](securityhub-findings-format.md) Finding Format.

### AWS Config (Mengirim temuan)
<a name="integration-config"></a>

AWS Config adalah layanan yang memungkinkan Anda menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config terus memantau dan merekam konfigurasi AWS sumber daya Anda dan memungkinkan Anda untuk mengotomatiskan evaluasi konfigurasi yang direkam terhadap konfigurasi yang diinginkan.

Dengan menggunakan integrasi dengan AWS Config, Anda dapat melihat hasil evaluasi aturan AWS Config terkelola dan kustom sebagai temuan di Security Hub CSPM. Temuan ini dapat dilihat bersama temuan CSPM Security Hub lainnya, memberikan gambaran menyeluruh tentang postur keamanan Anda.

AWS Config menggunakan Amazon EventBridge untuk mengirim evaluasi AWS Config aturan ke Security Hub CSPM. [Security Hub CSPM mengubah evaluasi aturan menjadi temuan yang mengikuti Format Pencarian Keamanan.AWS](securityhub-findings-format.md) Security Hub CSPM kemudian memperkaya temuan dengan upaya terbaik dengan mendapatkan informasi lebih lanjut tentang sumber daya yang terkena dampak, seperti Nama Sumber Daya Amazon (ARN), tag sumber daya, dan tanggal pembuatan.

Untuk informasi selengkapnya tentang integrasi ini, lihat bagian berikut.

#### Cara AWS Config mengirimkan temuan ke Security Hub CSPM
<a name="integration-config-how"></a>

Semua temuan di Security Hub CSPM menggunakan format JSON standar ASFF. ASFF mencakup rincian tentang asal temuan, sumber daya yang terpengaruh, dan status temuan saat ini. AWS Config mengirimkan evaluasi aturan terkelola dan kustom ke Security Hub CSPM melalui. EventBridge Security Hub CSPM mengubah evaluasi aturan menjadi temuan yang mengikuti ASFF dan memperkaya temuan dengan upaya terbaik.

##### Jenis temuan yang AWS Config dikirim ke Security Hub CSPM
<a name="integration-config-how-types"></a>

Setelah integrasi diaktifkan, AWS Config mengirimkan evaluasi semua aturan AWS Config terkelola dan aturan kustom ke Security Hub CSPM. Hanya evaluasi yang dilakukan setelah Security Hub CSPM diaktifkan yang dikirim. Misalnya, evaluasi AWS Config aturan mengungkapkan lima sumber daya yang gagal. Jika Anda mengaktifkan Security Hub CSPM setelah evaluasi tersebut dan aturan kemudian mengungkapkan sumber daya gagal keenam, hanya AWS Config mengirimkan evaluasi sumber daya keenam ke Security Hub CSPM.

Evaluasi dari [AWS Config aturan terkait layanan](securityhub-setup-prereqs.md), seperti yang digunakan untuk menjalankan pemeriksaan kontrol CSPM Security Hub, dikecualikan. Pengecualian adalah temuan yang dihasilkan oleh aturan terkait layanan yang AWS Control Tower membuat dan mengelola. AWS Config Memasukkan temuan untuk aturan ini membantu memastikan bahwa data temuan Anda mencakup hasil pemeriksaan proaktif yang dilakukan oleh AWS Control Tower.

##### Mengirimkan AWS Config temuan ke Security Hub CSPM
<a name="integration-config-how-types-send-findings"></a>

Ketika integrasi diaktifkan, Security Hub CSPM akan secara otomatis menetapkan izin yang diperlukan untuk menerima temuan dari. AWS Config Security Hub CSPM menggunakan izin service-to-service tingkat yang memberi Anda cara aman untuk mengaktifkan integrasi ini dan mengimpor temuan dari melalui AWS Config Amazon. EventBridge

##### Latensi untuk mengirim temuan
<a name="integration-config-how-types-latency"></a>

Saat AWS Config membuat temuan baru, Anda biasanya dapat melihat temuan di Security Hub CSPM dalam waktu lima menit.

##### Mencoba lagi saat Security Hub CSPM tidak tersedia
<a name="integration-config-how-types-retrying"></a>

AWS Config mengirimkan temuan ke Security Hub CSPM dengan upaya terbaik melalui. EventBridge Jika acara tidak berhasil dikirim ke Security Hub CSPM, EventBridge coba ulang pengiriman hingga 24 jam atau 185 kali, mana yang lebih dulu.

##### Memperbarui AWS Config temuan yang ada di Security Hub CSPM
<a name="integration-config-how-types-updating"></a>

Setelah AWS Config mengirim temuan ke Security Hub CSPM, itu dapat mengirim pembaruan ke temuan yang sama ke Security Hub CSPM untuk mencerminkan pengamatan tambahan dari aktivitas temuan. Pembaruan hanya dikirim untuk `ComplianceChangeNotification` acara. Jika tidak terjadi perubahan kepatuhan, pembaruan tidak akan dikirim ke Security Hub CSPM. Security Hub CSPM menghapus temuan 90 hari setelah pembaruan terbaru atau 90 hari setelah pembuatan jika tidak ada pembaruan yang terjadi.

Security Hub CSPM tidak mengarsipkan temuan yang dikirim dari AWS Config meskipun Anda menghapus sumber daya terkait.

##### Daerah di mana AWS Config temuan ada
<a name="integration-config-how-types-regions"></a>

AWS Config Temuan ini terjadi secara regional. AWS Config mengirimkan temuan ke Security Hub CSPM di Wilayah atau Wilayah yang sama di mana temuan terjadi.

### Melihat AWS Config temuan di Security Hub CSPM
<a name="integration-config-view"></a>

Untuk melihat AWS Config temuan Anda, pilih **Temuan** dari panel navigasi CSPM Security Hub. Untuk memfilter temuan agar hanya menampilkan AWS Config temuan, pilih **Nama produk** di drop-down bilah pencarian. **Masukkan **Config**, dan pilih Apply.**

#### Menafsirkan AWS Config pencarian nama di Security Hub CSPM
<a name="integration-config-view-interpret-finding-names"></a>

Security Hub CSPM mengubah evaluasi AWS Config aturan menjadi temuan yang mengikuti. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) AWS Config evaluasi aturan menggunakan pola peristiwa yang berbeda dibandingkan dengan ASFF. Tabel berikut memetakan bidang evaluasi AWS Config aturan dengan rekan ASFF mereka seperti yang muncul di Security Hub CSPM.


| Jenis temuan evaluasi aturan Config | Tipe temuan ASFF | Nilai hardcode | 
| --- | --- | --- | 
| detail. awsAccountId | AwsAccountId |   | 
| detail. newEvaluationResult. resultRecordedTime | CreatedAt |   | 
| detail. newEvaluationResult. resultRecordedTime | UpdatedAt |   | 
|  | ProductArn | <partition><region>“arn ::securityhub:::” product/aws/config | 
|  | ProductName | “Config” | 
|  | CompanyName | "AWS" | 
|  | Region | “eu-sentral-1" | 
| configRuleArn | GeneratorId, ProductFields |  | 
| detail. ConfigRuleARN/finding/hash | Id |  | 
| detail. configRuleName | Judul, ProductFields |  | 
| detail. configRuleName | Deskripsi | “Temuan ini dibuat untuk perubahan kepatuhan sumber daya untuk aturan konfigurasi:\$1\$1detail.ConfigRuleName\$1” | 
| Item Konfigurasi “ARN” atau Security Hub CSPM menghitung ARN | Sumber Daya [i] .id |  | 
| detail.ResourceType | Sumber Daya [i] .Type | "AwsS3Bucket" | 
|  | Sumber Daya [i] .Partisi | "aws" | 
|  | Sumber Daya [i] .Region | “eu-sentral-1" | 
| Item Konfigurasi “konfigurasi” | Sumber Daya [i] .Detail |  | 
|  | SchemaVersion | “2018-10-08" | 
|  | Keparahan. Label | Lihat “Menafsirkan Label Keparahan” di bawah ini | 
|  | Tipe | ["Pemeriksaan Perangkat Lunak dan Konfigurasi"] | 
| detail. newEvaluationResult.ComplianceType | Kepatuhan.Status | “GAGAL”, “NOT\$1AVAILABLE”, “LULUS”, atau “PERINGATAN” | 
|  | Alur kerja.Status | “DISELESAIKAN” jika AWS Config temuan dihasilkan dengan Compliance.Status dari “LULUS,” atau jika Compliance.Status berubah dari “GAGAL” menjadi “LULUS.” Jika tidak, Workflow.Status akan menjadi “BARU.” Anda dapat mengubah nilai ini dengan operasi [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. | 

#### Menafsirkan label keparahan
<a name="integration-config-view-interpret-severity"></a>

Semua temuan dari evaluasi AWS Config aturan memiliki label keparahan default **MEDIUM** di ASFF. Anda dapat memperbarui label keparahan temuan dengan operasi [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.

#### Temuan khas dari AWS Config
<a name="integration-config-view-typical-finding"></a>

Security Hub CSPM mengubah evaluasi AWS Config aturan menjadi temuan yang mengikuti ASFF. Berikut ini adalah contoh temuan khas dari AWS Config dalam ASFF.

**catatan**  
Jika deskripsi lebih dari 1.024 karakter, itu akan dipotong menjadi 1.024 karakter dan akan mengatakan “(terpotong)” di akhir.

```
{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}
```

### Mengaktifkan dan mengonfigurasi integrasi
<a name="integration-config-enable"></a>

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. AWS Config segera mulai mengirim temuan ke Security Hub CSPM.

### Menghentikan publikasi temuan ke Security Hub CSPM
<a name="integration-config-stop"></a>

Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

Untuk petunjuk tentang menghentikan aliran temuan, lihat[Mengaktifkan alur temuan dari integrasi CSPM Security Hub](securityhub-integration-enable.md).

### AWS Firewall Manager (Mengirim temuan)
<a name="integration-aws-firewall-manager"></a>

Firewall Manager mengirimkan temuan ke Security Hub CSPM ketika kebijakan firewall aplikasi web (WAF) untuk sumber daya atau aturan daftar kontrol akses web (web ACL) tidak sesuai. Firewall Manager juga mengirimkan temuan ketika AWS Shield Advanced tidak melindungi sumber daya, atau ketika serangan diidentifikasi.

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. Firewall Manager segera mulai mengirimkan temuan ke Security Hub CSPM.

Untuk mempelajari lebih lanjut tentang integrasi, lihat halaman **Integrasi** di konsol CSPM Security Hub.

Untuk mempelajari lebih lanjut tentang Firewall Manager, lihat [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).

### Amazon GuardDuty (Mengirim temuan)
<a name="integration-amazon-guardduty"></a>

GuardDuty mengirimkan semua jenis temuan yang dihasilkannya ke Security Hub CSPM. Beberapa jenis temuan memiliki prasyarat, persyaratan pemberdayaan, atau batasan Regional. Untuk informasi selengkapnya, lihat [GuardDuty menemukan jenis](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) di *Panduan GuardDuty Pengguna Amazon*.

Temuan baru GuardDuty dikirim ke Security Hub CSPM dalam waktu lima menit. Pembaruan temuan dikirim berdasarkan pengaturan **temuan yang diperbarui** untuk Amazon EventBridge dalam GuardDuty pengaturan.

Saat Anda menghasilkan temuan GuardDuty sampel menggunakan halaman GuardDuty **Pengaturan**, Security Hub CSPM menerima temuan sampel dan menghilangkan awalan `[Sample]` dalam jenis temuan. Misalnya, tipe pencarian sampel ditampilkan seperti `Recon:IAMUser/ResourcePermissions` pada GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` Security Hub CSPM.

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. GuardDutysegera mulai mengirim temuan ke Security Hub CSPM.

Untuk informasi selengkapnya tentang GuardDuty integrasi, lihat [Mengintegrasikan dengan CSPM AWS Security Hub](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) di Panduan Pengguna *Amazon GuardDuty *.

### AWS Health (Mengirim temuan)
<a name="integration-health"></a>

AWS Health memberikan visibilitas berkelanjutan ke kinerja sumber daya Anda dan ketersediaan Anda Layanan AWS dan Akun AWS. Anda dapat menggunakan AWS Health peristiwa untuk mempelajari bagaimana perubahan layanan dan sumber daya dapat memengaruhi aplikasi yang berjalan AWS.

Integrasi dengan AWS Health tidak menggunakan`BatchImportFindings`. Sebagai gantinya, AWS Health gunakan pesan service-to-service acara untuk mengirim temuan ke Security Hub CSPM.

Untuk informasi selengkapnya tentang integrasi, lihat bagian berikut.

#### Cara AWS Health mengirimkan temuan ke Security Hub CSPM
<a name="integration-health-how"></a>

Di Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh AWS layanan lain atau oleh mitra pihak ketiga. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

Security Hub CSPM menyediakan alat untuk mengelola temuan dari seluruh sumber ini. Anda dapat melihat dan memfilter daftar temuan dan melihat detail untuk temuan. Lihat [Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md). Anda juga dapat melacak status penyelidikan ke temuan. Lihat [Menetapkan status alur kerja temuan di Security Hub CSPM](findings-workflow-status.md).

Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) ASFF mencakup rincian tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini.

AWS Health adalah salah satu AWS layanan yang mengirimkan temuan ke Security Hub CSPM.

##### Jenis temuan yang AWS Health dikirim ke Security Hub CSPM
<a name="integration-health-how-types"></a>

Setelah integrasi diaktifkan, AWS Health kirimkan temuan yang memenuhi satu atau lebih spesifikasi yang tercantum ke Security Hub CSPM. Security Hub CSPM mencerna temuan di. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md)
+ Temuan yang mengandung salah satu nilai berikut untuk Layanan AWS:
  + `RISK`
  + `ABUSE`
  + `ACM`
  + `CLOUDHSM`
  + `CLOUDTRAIL`
  + `CONFIG`
  + `CONTROLTOWER`
  + `DETECTIVE`
  + `EVENTS`
  + `GUARDDUTY`
  + `IAM`
  + `INSPECTOR`
  + `KMS`
  + `MACIE`
  + `SES`
  + `SECURITYHUB`
  + `SHIELD`
  + `SSO`
  + `COGNITO`
  + `IOTDEVICEDEFENDER`
  + `NETWORKFIREWALL`
  + `ROUTE53`
  + `WAF`
  + `FIREWALLMANAGER`
  + `SECRETSMANAGER`
  + `BACKUP`
  + `AUDITMANAGER`
  + `ARTIFACT`
  + `CLOUDENDURE`
  + `CODEGURU`
  + `ORGANIZATIONS`
  + `DIRECTORYSERVICE`
  + `RESOURCEMANAGER`
  + `CLOUDWATCH`
  + `DRS`
  + `INSPECTOR2`
  + `RESILIENCEHUB`
+ Temuan dengan kata-kata `security``abuse`,, atau `certificate` di AWS Health `typeCode` lapangan
+ Temuan di mana AWS Health layanan tersebut `risk` atau `abuse`

##### Mengirimkan AWS Health temuan ke Security Hub CSPM
<a name="integration-health-how-types-send-findings"></a>

Ketika Anda memilih untuk menerima temuan dari AWS Health, Security Hub CSPM akan secara otomatis menetapkan izin yang diperlukan untuk menerima temuan dari. AWS Health Security Hub CSPM menggunakan izin service-to-service tingkat yang memberi Anda cara yang aman dan mudah untuk mengaktifkan integrasi ini dan mengimpor temuan dari melalui AWS Health Amazon EventBridge atas nama Anda. Memilih **Terima Temuan** memberikan izin CSPM Security Hub untuk mengkonsumsi temuan dari. AWS Health

##### Latensi untuk mengirim temuan
<a name="integration-health-how-types-latency"></a>

Ketika AWS Health membuat temuan baru, biasanya dikirim ke Security Hub CSPM dalam waktu lima menit.

##### Mencoba lagi saat Security Hub CSPM tidak tersedia
<a name="integration-health-how-types-retrying"></a>

AWS Health mengirimkan temuan ke Security Hub CSPM dengan upaya terbaik melalui. EventBridge Jika acara tidak berhasil dikirim ke Security Hub CSPM, EventBridge coba lagi mengirimkan acara selama 24 jam.

##### Memperbarui temuan yang ada di Security Hub CSPM
<a name="integration-health-how-types-updating"></a>

Setelah AWS Health mengirim temuan ke Security Hub CSPM, itu dapat mengirim pembaruan ke temuan yang sama untuk mencerminkan pengamatan tambahan dari aktivitas temuan ke Security Hub CSPM. 

##### Daerah di mana temuan ada
<a name="integration-health-how-types-regions"></a>

Untuk acara global, AWS Health kirimkan temuan ke Security Hub CSPM di us-east-1 (partisi AWS ), cn-northwest-1 (partisi Tiongkok), dan -1 (partisi). gov-us-west GovCloud AWS Health mengirimkan peristiwa khusus Wilayah ke CSPM Security Hub di Wilayah atau Wilayah yang sama tempat kejadian terjadi.

#### Melihat AWS Health temuan di Security Hub CSPM
<a name="integration-health-view"></a>

Untuk melihat AWS Health temuan Anda di Security Hub CSPM, pilih **Temuan** dari panel navigasi. Untuk memfilter temuan agar hanya menampilkan AWS Health temuan, pilih **Kesehatan** dari bidang **Nama produk**.

##### Menafsirkan AWS Health pencarian nama di Security Hub CSPM
<a name="integration-health-view-interpret-finding-names"></a>

AWS Health mengirimkan temuan ke Security Hub CSPM menggunakan. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) AWS Health temuan menggunakan pola peristiwa yang berbeda dibandingkan dengan Security Hub CSPM format ASFF. Tabel di bawah ini merinci semua bidang AWS Health temuan dengan rekan ASFF mereka seperti yang muncul di Security Hub CSPM.


| Jenis temuan Kesehatan | Tipe temuan ASFF | Nilai hardcode | 
| --- | --- | --- | 
| akun | AwsAccountId |   | 
| detail.starttime | CreatedAt |   | 
| Detail.eventDescription.LatestDescription | Deskripsi |   | 
| detail. eventTypeCode | GeneratorId |   | 
| detail.eventARN (termasuk akun) \$1 hash dari detail.startTime | Id |   | 
| <region>“arn:aws:securityhub::” product/aws/health | ProductArn |   | 
| akun atau resourceID | Sumber Daya [i] .id |   | 
|   | Sumber Daya [i] .Type | “Lainnya” | 
|   | SchemaVersion | “2018-10-08" | 
|   | Keparahan. Label | Lihat “Menafsirkan Label Keparahan” di bawah ini | 
| “AWS Health -” detail. eventTypeCode | judul |   | 
| - | Tipe | ["Pemeriksaan Perangkat Lunak dan Konfigurasi"] | 
| event.time | UpdatedAt |   | 
| URL acara di konsol Health | SourceUrl |   | 

##### Menafsirkan label keparahan
<a name="integration-health-view-interpret-severity"></a>

Label keparahan dalam temuan ASFF ditentukan menggunakan logika berikut:
+ Keparahan **KRITIS** jika:
  + `service`Bidang dalam AWS Health temuan memiliki nilai `Risk`
  + `typeCode`Bidang dalam AWS Health temuan memiliki nilai `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
  + `typeCode`Bidang dalam AWS Health temuan memiliki nilai `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
  + `typeCode`Bidang dalam AWS Health temuan memiliki nilai `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`

  Tingkat keparahan **TINGGI** jika:
  + `service`Bidang dalam AWS Health temuan memiliki nilai `Abuse`
  + `typeCode`Bidang dalam AWS Health temuan berisi nilai `SECURITY_NOTIFICATION`
  + `typeCode`Bidang dalam AWS Health temuan berisi nilai `ABUSE_DETECTION`

  Keparahan **MEDIUM** jika:
  + `service`Bidang dalam temuan ini adalah salah satu dari yang berikut:`ACM`,`ARTIFACT`,`AUDITMANAGER`,`BACKUP`,`CLOUDENDURE`,`CLOUDHSM`,`CLOUDTRAIL`,`CLOUDWATCH`,`CODEGURGU`,`COGNITO`,`CONFIG`,`CONTROLTOWER`,`DETECTIVE`,`DIRECTORYSERVICE`,`DRS`,`EVENTS`,`FIREWALLMANAGER`,`GUARDDUTY`,`IAM`,`INSPECTOR`,`INSPECTOR2`,`IOTDEVICEDEFENDER`,`KMS`,,`MACIE`,`NETWORKFIREWALL`,`ORGANIZATIONS`,`RESILIENCEHUB`,`RESOURCEMANAGER`,`ROUTE53`,`SECURITYHUB`,`SECRETSMANAGER`,`SES`,`SHIELD`,`SSO`,, `WAF`
  + Bidang **TypeCode** dalam AWS Health temuan berisi nilai `CERTIFICATE`
  + Bidang **TypeCode** dalam AWS Health temuan berisi nilai `END_OF_SUPPORT`

##### Temuan khas dari AWS Health
<a name="integration-health-view-typical-finding"></a>

AWS Health mengirimkan temuan ke Security Hub CSPM menggunakan. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) Berikut ini adalah contoh temuan khas dari AWS Health.

**catatan**  
Jika deskripsi lebih dari 1024 karakter, itu akan dipotong menjadi 1024 karakter dan akan mengatakan *(terpotong)* di akhir.

```
{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}
```

#### Mengaktifkan dan mengonfigurasi integrasi
<a name="integration-health-enable"></a>

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. AWS Health segera mulai mengirim temuan ke Security Hub CSPM.

#### Menghentikan publikasi temuan ke Security Hub CSPM
<a name="integration-health-stop"></a>

Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

Untuk petunjuk tentang menghentikan aliran temuan, lihat[Mengaktifkan alur temuan dari integrasi CSPM Security Hub](securityhub-integration-enable.md).

### AWS Identity and Access Management Access Analyzer (Mengirim temuan)
<a name="integration-iam-access-analyzer"></a>

Dengan IAM Access Analyzer, semua temuan dikirim ke Security Hub CSPM.

IAM Access Analyzer menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya yang diterapkan pada sumber daya yang didukung di akun Anda. IAM Access Analyzer menghasilkan temuan ketika mendeteksi pernyataan kebijakan yang memungkinkan prinsipal eksternal mengakses sumber daya di akun Anda.

Di IAM Access Analyzer, hanya akun administrator yang dapat melihat temuan untuk penganalisis yang berlaku untuk organisasi. Untuk penganalisis organisasi, bidang `AwsAccountId` ASFF mencerminkan ID akun administrator. Di bawah`ProductFields`, `ResourceOwnerAccount` bidang menunjukkan akun di mana temuan itu ditemukan. Jika Anda mengaktifkan penganalisis satu per satu untuk setiap akun, Security Hub CSPM menghasilkan beberapa temuan, yang mengidentifikasi ID akun administrator dan satu yang mengidentifikasi ID akun sumber daya. 

Untuk informasi selengkapnya, lihat [Integrasi dengan AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) di Panduan Pengguna *IAM*.

### Amazon Inspector (Mengirim temuan)
<a name="integration-amazon-inspector"></a>

Amazon Inspector adalah layanan manajemen kerentanan yang terus memindai beban kerja Anda AWS untuk mencari kerentanan. Amazon Inspector secara otomatis menemukan dan memindai instans Amazon EC2 dan gambar kontainer yang berada di Amazon Elastic Container Registry. Pemindaian mencari kerentanan perangkat lunak dan eksposur jaringan yang tidak diinginkan.

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. Amazon Inspector segera mulai mengirimkan semua temuan yang dihasilkannya ke Security Hub CSPM.

Untuk informasi selengkapnya tentang integrasi, lihat [Integrasi dengan AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) di Panduan Pengguna *Amazon Inspector*.

Security Hub CSPM juga dapat menerima temuan dari Amazon Inspector Classic. Amazon Inspector Classic mengirimkan temuan ke Security Hub CSPM yang dihasilkan melalui proses penilaian untuk semua paket aturan yang didukung.

Untuk informasi selengkapnya tentang integrasi, lihat [Integrasi dengan AWS Security Hub CSPM di Panduan](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) Pengguna *Amazon Inspector Classic*.

Temuan untuk Amazon Inspector dan Amazon Inspector Classic menggunakan produk yang sama ARN. Temuan Amazon Inspector memiliki entri berikut di: `ProductFields`

```
"aws/inspector/ProductVersion": "2",
```

**catatan**  
 Temuan keamanan yang dihasilkan oleh [Amazon Inspector Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) tidak tersedia untuk integrasi ini. Namun, Anda dapat mengakses temuan khusus ini di konsol Amazon Inspector dan melalui [Amazon Inspector API](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html). 

### AWS IoT Device Defender (Mengirim temuan)
<a name="integration-iot-device-defender"></a>

AWS IoT Device Defender adalah layanan keamanan yang mengaudit konfigurasi perangkat IoT Anda, memantau perangkat yang terhubung untuk mendeteksi perilaku abnormal, dan membantu mengurangi risiko keamanan.

Setelah mengaktifkan keduanya AWS IoT Device Defender dan CSPM Security Hub, kunjungi [halaman Integrasi konsol CSPM Security Hub](https://console.aws.amazon.com/securityhub/home#/integrations), dan pilih **Terima temuan** untuk Audit, Deteksi, atau keduanya. AWS IoT Device Defender Audit dan Deteksi mulai mengirimkan semua temuan ke Security Hub CSPM.

AWS IoT Device Defender Audit mengirimkan ringkasan cek ke Security Hub CSPM, yang berisi informasi umum untuk jenis pemeriksaan audit tertentu dan tugas audit. AWS IoT Device Defender Deteksi mengirimkan temuan pelanggaran untuk pembelajaran mesin (ML), statistik, dan perilaku statis ke Security Hub CSPM. Audit juga mengirimkan pembaruan temuan ke Security Hub CSPM.

Untuk informasi selengkapnya tentang integrasi ini, lihat [Integrasi dengan AWS Security Hub CSPM](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) di Panduan *AWS IoT Pengembang*.

### Amazon Macie (Mengirim temuan)
<a name="integration-amazon-macie"></a>

Amazon Macie adalah layanan keamanan data yang menemukan data sensitif dengan menggunakan machine learning dan pencocokan pola, memberikan visibilitas ke risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. Temuan dari Macie dapat menunjukkan bahwa potensi pelanggaran kebijakan atau data sensitif ada di kawasan data Amazon S3 Anda.

Setelah Anda mengaktifkan Security Hub CSPM, Macie secara otomatis mulai mengirimkan temuan kebijakan ke Security Hub CSPM. Anda dapat mengonfigurasi integrasi untuk juga mengirim temuan data sensitif ke Security Hub CSPM.

Di Security Hub CSPM, jenis temuan untuk kebijakan atau temuan data sensitif diubah menjadi nilai yang kompatibel dengan ASFF. Misalnya, jenis `Policy:IAMUser/S3BucketPublic` temuan di Macie ditampilkan seperti `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` pada Security Hub CSPM.

Macie juga mengirimkan temuan sampel yang dihasilkan ke Security Hub CSPM. Untuk temuan sampel, nama sumber daya yang terpengaruh adalah `macie-sample-finding-bucket` dan nilai untuk `Sample` bidang tersebut`true`.

Untuk informasi selengkapnya, lihat [Mengevaluasi temuan Macie dengan Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) di Panduan Pengguna *Amazon Macie*.

### Amazon Route 53 Resolver DNS Firewall (Mengirim temuan)
<a name="integration-amazon-r53rdnsfirewall"></a>

Dengan Amazon Route 53 Resolver DNS Firewall, Anda dapat memfilter dan mengatur lalu lintas DNS keluar untuk virtual private cloud (VPC) Anda. Anda melakukannya dengan membuat koleksi aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall, mengaitkan grup aturan dengan VPC Anda, dan kemudian memantau aktivitas di log dan metrik DNS Firewall. Berdasarkan aktivitas, Anda dapat menyesuaikan perilaku DNS Firewall. DNS Firewall adalah fitur dari Route 53 Resolver.

Route 53 Resolver DNS Firewall dapat mengirimkan beberapa jenis temuan ke Security Hub CSPM:
+ Temuan yang terkait dengan kueri yang diblokir atau diperingatkan untuk domain yang terkait dengan Daftar Domain Terkelola, yang merupakan daftar domain yang AWS dikelola. AWS 
+ Temuan yang terkait dengan kueri yang diblokir atau diperingatkan untuk domain yang terkait dengan daftar domain khusus yang Anda tentukan.
+ Temuan terkait kueri yang diblokir atau diperingatkan oleh DNS Firewall Advanced, yang merupakan fitur Resolver Route 53 yang dapat mendeteksi kueri yang terkait dengan ancaman DNS tingkat lanjut seperti Domain Generation Algorithms () dan DNS Tunneling. DGAs

Setelah Anda mengaktifkan Security Hub CSPM dan Route 53 Resolver DNS Firewall, DNS Firewall secara otomatis mulai mengirimkan temuan untuk Daftar Domain AWS Terkelola dan DNS Firewall Advanced to Security Hub CSPM. Untuk juga mengirim temuan untuk daftar domain kustom ke Security Hub CSPM, aktifkan integrasi secara manual di Security Hub CSPM.

Di Security Hub CSPM, semua temuan dari Route 53 Resolver DNS Firewall memiliki jenis berikut: `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`

Untuk informasi selengkapnya, lihat [Mengirim temuan dari Firewall DNS Resolver Route 53 ke Security Hub di Panduan Pengembang](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) *Amazon Route 53*.

### AWS Systems Manager Patch Manager (Mengirim temuan)
<a name="patch-manager"></a>

AWS Systems Manager Patch Manager mengirimkan temuan ke Security Hub CSPM ketika instance dalam armada pelanggan tidak sesuai dengan standar kepatuhan patch mereka.

Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya.

Setelah Anda mengaktifkan Security Hub CSPM, integrasi ini diaktifkan secara otomatis. Systems Manager Patch Manager segera mulai mengirimkan temuan ke Security Hub CSPM.

Untuk informasi selengkapnya tentang menggunakan Patch Manager, lihat [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) di *Panduan AWS Systems Manager Pengguna*.

## AWS layanan yang menerima temuan dari Security Hub CSPM
<a name="integrations-internal-receive"></a>

 AWS Layanan berikut terintegrasi dengan Security Hub CSPM dan menerima temuan dari Security Hub CSPM. Jika dicatat, layanan terintegrasi juga dapat memperbarui temuan. Dalam hal ini, menemukan pembaruan yang Anda buat dalam layanan terintegrasi juga akan tercermin dalam Security Hub CSPM.

### AWS Audit Manager (Menerima temuan)
<a name="integration-aws-audit-manager"></a>

AWS Audit Manager menerima temuan dari Security Hub CSPM. Temuan ini membantu pengguna Audit Manager untuk mempersiapkan audit.

Untuk mempelajari Audit Manager selengkapnya, lihat [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html). [AWS Pemeriksaan CSPM Security Hub yang didukung oleh AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html) daftar kontrol tempat CSPM Security Hub mengirimkan temuannya ke Audit Manager.

### Pengembang Amazon Q dalam aplikasi obrolan (Menerima temuan)
<a name="integration-chatbot"></a>

Pengembang Amazon Q dalam aplikasi obrolan adalah agen interaktif yang membantu Anda memantau dan berinteraksi dengan AWS sumber daya Anda di saluran Slack dan ruang obrolan Amazon Chime.

Pengembang Amazon Q dalam aplikasi obrolan menerima temuan dari Security Hub CSPM.

Untuk mempelajari lebih lanjut tentang Pengembang Amazon Q dalam integrasi aplikasi obrolan dengan Security Hub CSPM, lihat ikhtisar [integrasi CSPM Security Hub di Panduan Administrator](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) *Amazon Q Developer dalam aplikasi obrolan*.

### Detektif Amazon (Menerima temuan)
<a name="integration-amazon-detective"></a>

Detective secara otomatis mengumpulkan data log dari AWS sumber daya Anda dan menggunakan pembelajaran mesin, analisis statistik, dan teori grafik untuk membantu Anda memvisualisasikan dan melakukan penyelidikan keamanan yang lebih cepat dan lebih efisien.

Integrasi CSPM Security Hub dengan Detective memungkinkan Anda untuk beralih dari temuan Amazon di GuardDuty Security Hub CSPM ke Detective. Anda kemudian dapat menggunakan alat Detektif dan visualisasi untuk menyelidikinya. Integrasi tidak memerlukan konfigurasi tambahan di Security Hub CSPM atau Detective.

Untuk temuan yang diterima dari yang lain Layanan AWS, panel rincian temuan di konsol CSPM Security Hub mencakup sub-bagian **Investigasi di Detektif**. Subbagian itu berisi tautan ke Detektif di mana Anda dapat menyelidiki lebih lanjut masalah keamanan yang ditandai oleh temuan tersebut. Anda juga dapat membuat grafik perilaku di Detective berdasarkan temuan CSPM Security Hub untuk melakukan penyelidikan yang lebih efektif. Untuk informasi selengkapnya, lihat [temuan AWS keamanan](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) di Panduan *Administrasi Detektif Amazon*.

Jika agregasi lintas wilayah diaktifkan, maka ketika Anda berputar dari Wilayah agregasi, Detektif terbuka di Wilayah tempat temuan itu berasal.

Jika tautan tidak berfungsi, maka untuk saran pemecahan masalah, lihat [Memecahkan masalah pivot](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).

### Danau Keamanan Amazon (Menerima temuan)
<a name="integration-security-lake"></a>

Security Lake adalah layanan danau data keamanan yang dikelola sepenuhnya. Anda dapat menggunakan Security Lake untuk secara otomatis memusatkan data keamanan dari sumber cloud, lokal, dan kustom ke dalam data lake yang disimpan di akun Anda. Pelanggan dapat menggunakan data dari Security Lake untuk kasus penggunaan investigasi dan analitik.

Untuk mengaktifkan integrasi ini, Anda harus mengaktifkan kedua layanan dan menambahkan Security Hub CSPM sebagai sumber di konsol Security Lake, Security Lake API, atau. AWS CLI Setelah Anda menyelesaikan langkah-langkah ini, Security Hub CSPM mulai mengirimkan semua temuan ke Security Lake.

Security Lake secara otomatis menormalkan temuan CSPM Security Hub dan mengubahnya menjadi skema open-source standar yang disebut Open Cybersecurity Schema Framework (OCSF). Di Security Lake, Anda dapat menambahkan satu atau lebih pelanggan untuk mengkonsumsi temuan CSPM Security Hub.

Untuk informasi selengkapnya tentang integrasi ini, termasuk petunjuk tentang menambahkan CSPM Security Hub sebagai sumber dan membuat pelanggan, lihat [Integrasi dengan AWS Security Hub CSPM di Panduan Pengguna](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) *Amazon Security Lake*.

### AWS Systems Manager Explorer dan OpsCenter (Menerima dan memperbarui temuan)
<a name="integration-ssm-explorer-opscenter"></a>

AWS Systems Manager Jelajahi dan OpsCenter terima temuan dari Security Hub CSPM, dan perbarui temuan tersebut di Security Hub CSPM.

Explorer memberi Anda dasbor yang dapat disesuaikan, memberikan wawasan dan analisis utama tentang kesehatan operasional dan kinerja lingkungan Anda. AWS 

OpsCenter memberi Anda lokasi pusat untuk melihat, menyelidiki, dan menyelesaikan item pekerjaan operasional.

Untuk informasi selengkapnya tentang Explorer dan OpsCenter, lihat [Manajemen operasi](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) di *Panduan AWS Systems Manager Pengguna*.

### AWS Trusted Advisor (Menerima temuan)
<a name="integration-trusted-advisor"></a>

Trusted Advisor mengacu pada praktik terbaik yang dipelajari dari melayani ratusan ribu AWS pelanggan. Trusted Advisor memeriksa AWS lingkungan Anda, dan kemudian membuat rekomendasi ketika ada peluang untuk menghemat uang, meningkatkan ketersediaan dan kinerja sistem, atau membantu menutup kesenjangan keamanan.

Ketika Anda mengaktifkan keduanya Trusted Advisor dan Security Hub CSPM, integrasi diperbarui secara otomatis.

Security Hub CSPM mengirimkan hasil pemeriksaan Praktik Terbaik Keamanan AWS Dasar ke. Trusted Advisor

*Untuk informasi selengkapnya tentang integrasi CSPM Security Hub Trusted Advisor, lihat [Melihat kontrol CSPM AWS Security Hub di Panduan Pengguna AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html) Support AWS .*

# Integrasi produk pihak ketiga dengan Security Hub CSPM
<a name="securityhub-partner-providers"></a>

AWS Security Hub CSPM terintegrasi dengan beberapa produk mitra pihak ketiga. Integrasi dapat melakukan satu atau lebih tindakan berikut:
+ Kirim temuan yang dihasilkannya ke Security Hub CSPM
+ Menerima temuan dari Security Hub CSPM
+ Perbarui temuan di Security Hub CSPM

Integrasi yang mengirimkan temuan ke Security Hub CSPM memiliki Amazon Resource Name (ARN).

Integrasi mungkin tidak tersedia di semua Wilayah AWS. Jika integrasi tidak didukung di Wilayah tempat Anda masuk saat ini di konsol CSPM Security Hub, integrasi tidak akan muncul di halaman **Integrasi** konsol. Untuk daftar integrasi yang tersedia di Wilayah Tiongkok dan AWS GovCloud (US) Regions, lihat. [Ketersediaan integrasi menurut Wilayah](securityhub-regions.md#securityhub-regions-integration-support)

Jika Anda memiliki solusi keamanan dan tertarik untuk menjadi mitra CSPM Security Hub, kirim email ke securityhub-partners@amazon.com. Untuk informasi selengkapnya, lihat [Panduan Integrasi Mitra](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).

## Ikhtisar integrasi pihak ketiga dengan Security Hub CSPM
<a name="integrations-third-party-summary"></a>

Tabel berikut memberikan gambaran umum tentang integrasi pihak ketiga yang dapat mengirimkan temuan ke Security Hub CSPM atau menerima temuan dari Security Hub CSPM.


| Integrasi | Arahan | ARN (jika ada) | 
| --- | --- | --- | 
|  [3CORESec – 3CORESec NTA](#integration-3coresec-nta)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`  | 
|  [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`  | 
|  [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`  | 
|  [Aqua Security – Kube-bench](#integration-aqua-security-kubebench)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`  | 
|  [Armor – Armor Anywhere](#integration-armor-anywhere)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`  | 
|  [AttackIQ – AttackIQ](#integration-attackiq)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`  | 
|  [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`  | 
|  [BigID – BigID Enterprise](#integration-bigid-enterprise)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`  | 
|  [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws)  |  Mengirim temuan  |   `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`  | 
|  [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`  | 
|  [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`  | 
|  [Claroty – xDome](#integration-claroty-xdome)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/claroty/xdome`  | 
|  [Cloud Storage Security— Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`  | 
|  [Contrast Security](#integration-contrast-security)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`  | 
|  [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`  | 
|  [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`  | 
|  [Data Theorem – Data Theorem](#integration-data-theorem)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`  | 
|  [Drata](#integration-drata)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/drata/drata-integration`  | 
|  [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`  | 
|  [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`  | 
|  [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`  | 
|  [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`  | 
|  [Fugue – Fugue](#integration-fugue)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/fugue/fugue`  | 
|  [Guardicore – Centra 4.0](#integration-guardicore-centra)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`  | 
|  [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`  | 
|  [JFrog – Xray](#integration-jfrog-xray)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`  | 
|  [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`  | 
|  [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`  | 
|  [Lacework – Lacework](#integration-lacework)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/lacework/lacework`  | 
|  [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`  | 
|  [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator)  |  Mengirim temuan  |  `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator`  | 
|  [Orca Cloud Security Platform](#integration-orca-cloud-security-platform)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`  | 
|  [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`  | 
|  [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`  | 
|  [Plerion – Cloud Security Platform](#integration-plerion)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`  | 
|  [Prowler – Prowler](#integration-prowler)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/prowler/prowler`  | 
|  [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`  | 
|  [Rapid7 – InsightVM](#integration-rapid7-insightvm)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`  | 
|  [SentinelOne – SentinelOne](#integration-sentinelone)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`  | 
|  [Snyk](#integration-snyk)  |  Mengirim temuan  |  `arn:aws:securityhub:<region>::product/snyk/snyk`  | 
|  [Sonrai Security – Sonrai Dig](#integration-sonrai-dig)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`  | 
|  [Sophos – Server Protection](#integration-sophos-server-protection)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`  | 
|  [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`  | 
|  [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`  | 
|  [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`  | 
|  [Tenable – Tenable.io](#integration-tenable-tenableio)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`  | 
|  [Trend Micro – Cloud One](#integration-trend-micro)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`  | 
|  [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`  | 
|  [Wiz](#integration-wiz)  |  Mengirim temuan  |  `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`  | 
|  [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management)  |  Menerima dan memperbarui temuan  |  Tidak berlaku  | 
|  [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud)  |  Menerima dan memperbarui temuan  |  Tidak berlaku  | 
|  [Atlassian – Opsgenie](#integration-atlassian-opsgenie)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Dynatrace](#integration-dynatrace)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Elastic](#integration-elastic)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Fortinet – FortiCNP](#integration-fortinet-forticnp)  |  Menerima temuan  |  Tidak berlaku  | 
|  [IBM – QRadar](#integration-ibm-qradar)  |  Menerima temuan  | Tidak berlaku | 
|  [Logz.io Cloud SIEM](#integration-logzio-cloud-siem)  |  Menerima temuan  |  Tidak berlaku  | 
|  [MetricStream](#integration-metricstream)  |  Menerima temuan  |  Tidak berlaku  | 
|  [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight)  |  Menerima temuan  |  Tidak berlaku  | 
|  [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management)  |  Menerima temuan  |  Tidak berlaku  | 
|  [PagerDuty – PagerDuty](#integration-pagerduty)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Rapid7 – InsightConnect](#integration-rapid7-insightconnect)  |  Menerima temuan  |  Tidak berlaku  | 
|  [RSA – RSA Archer](#integration-rsa-archer)  |  Menerima temuan  |  Tidak berlaku  | 
|  [ServiceNow – ITSM](#integration-servicenow-itsm)  |  Menerima dan memperbarui temuan  |  Tidak berlaku  | 
|  [Slack – Slack](#integration-slack)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Splunk – Splunk Enterprise](#integration-splunk-enterprise)  |  Menerima temuan  | Tidak berlaku | 
|  [Splunk – Splunk Phantom](#integration-splunk-phantom)  |  Menerima temuan  |  Tidak berlaku  | 
|  [ThreatModeler](#integration-threatmodeler)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Trellix – Trellix Helix](#integration-fireeye-helix)  |  Menerima temuan  |  Tidak berlaku  | 
|  [Caveonix – Caveonix Cloud](#integration-caveonix-cloud)  |  Mengirim dan menerima temuan  |  `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`  | 
|  [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian)  |  Mengirim dan menerima temuan  |  `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`  | 
|  [DisruptOps, Inc. – DisruptOPS](#integration-disruptops)  |  Mengirim dan menerima temuan  |  `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`  | 
|  [Kion](#integration-kion)  |  Mengirim dan menerima temuan  |  `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`  | 
|  [Turbot – Turbot](#integration-turbot)  |  Mengirim dan menerima temuan  |  `arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot`  | 

## Integrasi pihak ketiga yang mengirimkan temuan ke Security Hub CSPM
<a name="integrations-third-party-send"></a>

Integrasi produk mitra pihak ketiga berikut dapat mengirimkan temuan ke Security Hub CSPM. Security Hub CSPM mengubah temuan menjadi [AWS Security](securityhub-findings-format.md) Finding Format.

### 3CORESec – 3CORESec NTA
<a name="integration-3coresec-nta"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/3coresec/3coresec`

3CORESecmenyediakan layanan deteksi terkelola untuk lokal dan AWS sistem. Integrasi mereka dengan Security Hub CSPM memungkinkan visibilitas ke dalam ancaman seperti malware, eskalasi hak istimewa, pergerakan lateral, dan segmentasi jaringan yang tidak tepat.

[Tautan produk](https://3coresec.com)

[Dokumentasi mitra](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)

### Alert Logic – SIEMless Threat Management
<a name="integration-alert-logic-siemless"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement`

Dapatkan tingkat cakupan yang tepat: kerentanan dan visibilitas aset, deteksi ancaman dan manajemen insiden AWS WAF, dan opsi analis SOC yang ditetapkan.

[Tautan produk](https://www.alertlogic.com/solutions/platform/aws-security/)

[Dokumentasi mitra](https://docs.alertlogic.com/configure/aws-security-hub.htm)

### Aqua Security – Aqua Cloud Native Security Platform
<a name="integration-aqua-security-cloud-native-security-platform"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity`

Aqua Cloud Native Security Platform (CSP)menyediakan keamanan siklus hidup penuh untuk aplikasi berbasis container dan tanpa server, mulai dari pipeline hingga lingkungan produksi runtime. CI/CD 

[Tautan produk](https://blog.aquasec.com/aqua-aws-security-hub)

[Dokumentasi mitra](https://github.com/aquasecurity/aws-security-hub-plugin)

### Aqua Security – Kube-bench
<a name="integration-aqua-security-kubebench"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench`

Kube-benchadalah alat open-source yang menjalankan Center for Internet Security (CIS) Kubernetes Benchmark terhadap lingkungan Anda.

[Tautan produk](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

[Dokumentasi mitra](https://github.com/aquasecurity/kube-bench/blob/master/README.md)

### Armor – Armor Anywhere
<a name="integration-armor-anywhere"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere`

Armor Anywherememberikan keamanan dan kepatuhan terkelola untuk AWS.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)

[Dokumentasi mitra](https://amp.armor.com/account/cloud-connections)

### AttackIQ – AttackIQ
<a name="integration-attackiq"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform`

AttackIQ Platformmengemulasi perilaku permusuhan nyata yang selaras dengan MITRE ATT&CK Framework untuk membantu memvalidasi dan meningkatkan postur keamanan Anda secara keseluruhan.

[Tautan produk](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)

[Dokumentasi mitra](https://github.com/AttackIQ/attackiq.github.io)

### Barracuda Networks – Cloud Security Guardian
<a name="integration-barracuda-cloud-security-guardian"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian`

Barracuda Cloud Security Sentrymembantu organisasi tetap aman saat membangun aplikasi di, dan memindahkan beban kerja ke, cloud publik.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)

[Tautan produk](https://www.barracuda.com/solutions/aws)

### BigID – BigID Enterprise
<a name="integration-bigid-enterprise"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise`

BigID Enterprise Privacy Management PlatformIni membantu perusahaan mengelola dan melindungi data sensitif (PII) di semua sistem mereka.

[Tautan produk](https://github.com/bigexchange/aws-security-hub)

[Dokumentasi mitra](https://github.com/bigexchange/aws-security-hub)

### Blue Hexagon— Blue Hexagon untuk AWS
<a name="integration-blue-hexagon-for-aws"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws`

Blue Hexagonadalah platform deteksi ancaman waktu nyata. Ini menggunakan prinsip pembelajaran mendalam untuk mendeteksi ancaman yang diketahui dan tidak diketahui, termasuk malware dan anomali jaringan.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)

[Dokumentasi mitra](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)

### Check Point – CloudGuard IaaS
<a name="integration-checkpoint-cloudguard-iaas"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas`

Check Point CloudGuarddengan mudah memperluas keamanan pencegahan ancaman yang komprehensif untuk AWS sekaligus melindungi aset di cloud.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Dokumentasi mitra](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)

### Check Point – CloudGuard Posture Management
<a name="integration-checkpoint-cloudguard-posture-management"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc`

Platform SaaS yang memberikan keamanan jaringan cloud yang dapat diverifikasi, perlindungan IAM tingkat lanjut, dan kepatuhan dan tata kelola yang komprehensif.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)

[Dokumentasi mitra](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)

### Claroty – xDome
<a name="integration-claroty-xdome"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/claroty/xdome`

Claroty xDomemembantu organisasi mengamankan sistem siber-fisik mereka di seluruh Extended Internet of Things (XIoT) dalam lingkungan industri (OT), perawatan kesehatan (IoMT), dan perusahaan (IoT).

[Tautan produk](https://claroty.com/)

[Dokumentasi mitra](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)

### Cloud Storage Security— Antivirus for Amazon S3
<a name="integration-cloud-storage-security-antivirus-for-s3"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3`

Cloud Storage Securitymenyediakan pemindaian anti-malware dan antivirus asli cloud untuk objek Amazon S3.

Antivirus for Amazon S3 menawarkan pemindaian objek dan file secara real time dan terjadwal di Amazon S3 untuk malware dan ancaman. Ini memberikan visibilitas dan remediasi untuk masalah dan file yang terinfeksi.

[Tautan produk](https://cloudstoragesec.com/)

[Dokumentasi mitra](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)

### Contrast Security – Contrast Assess
<a name="integration-contrast-security"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/contrast-security/security-assess`

Contrast Security Contrast Assessadalah alat IAST yang menawarkan deteksi kerentanan waktu nyata di aplikasi web, APIs, dan layanan mikro. Contrast Assessterintegrasi dengan Security Hub CSPM untuk membantu memberikan visibilitas dan respons terpusat untuk semua beban kerja Anda.

[Tautan produk](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)

[Dokumentasi mitra](https://docs.contrastsecurity.com/en/securityhub.html)

### CrowdStrike – CrowdStrike Falcon
<a name="integration-crowdstrike-falcon"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon`

Sensor CrowdStrike Falcon tunggal yang ringan menyatukan antivirus generasi berikutnya, deteksi dan respons titik akhir, dan perburuan terkelola 24/7 melalui cloud.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)

[Dokumentasi mitra](https://github.com/CrowdStrike/falcon-integration-gateway)

### CyberArk – Privileged Threat Analytics
<a name="integration-cyberark-privileged-threat-analytics"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta`

Privileged Threat Analyticsmengumpulkan, mendeteksi, memperingatkan, dan menanggapi aktivitas berisiko tinggi dan perilaku akun istimewa untuk menahan serangan yang sedang berlangsung.

[Tautan produk](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)

[Dokumentasi mitra](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)

### Data Theorem – Data Theorem
<a name="integration-data-theorem"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/data-theorem/api-cloud-web-secure`

Data Theoremterus memindai aplikasi web APIs, dan sumber daya cloud untuk mencari kelemahan keamanan dan kesenjangan privasi data untuk mencegah pelanggaran AppSec data.

[Tautan produk](https://www.datatheorem.com/partners/aws/)

[Dokumentasi mitra](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)

### Drata
<a name="integration-drata"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/drata/drata-integration`

Drataadalah platform otomatisasi kepatuhan yang membantu Anda mencapai dan mempertahankan kepatuhan dengan berbagai kerangka kerja, seperti, ISO SOC2, dan GDPR. Integrasi antara Drata dan Security Hub CSPM membantu Anda memusatkan temuan keamanan Anda di satu lokasi.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)

[Dokumentasi mitra](https://drata.com/partner/aws)

### Forcepoint – Forcepoint CASB
<a name="integration-forcepoint-casb"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb`

Forcepoint CASBmemungkinkan Anda menemukan penggunaan aplikasi cloud, menganalisis risiko, dan menegakkan kontrol yang sesuai untuk SaaS dan aplikasi khusus.

[Tautan produk](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentasi mitra](https://frcpnt.com/casb-securityhub)

### Forcepoint – Forcepoint Cloud Security Gateway
<a name="integration-forcepoint-cloud-security-gateway"></a>

**Jenis integrasi:** Kirim

Produk ARN: `arn:aws:securityhub:<REGION>::product/forcepoint/forcepoint-cloud-security-gateway`

Forcepoint Cloud Security Gatewayadalah layanan keamanan cloud konvergen yang menyediakan visibilitas, kontrol, dan perlindungan ancaman bagi pengguna dan data, di mana pun mereka berada.

[Tautan produk](https://www.forcepoint.com/product/cloud-security-gateway)

[Dokumentasi mitra](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)

### Forcepoint – Forcepoint DLP
<a name="integration-forcepoint-dlp"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp`

Forcepoint DLPmengatasi risiko yang berpusat pada manusia dengan visibilitas dan kontrol di mana pun orang-orang Anda bekerja dan di mana pun data Anda berada.

[Tautan produk](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentasi mitra](https://frcpnt.com/dlp-securityhub)

### Forcepoint – Forcepoint NGFW
<a name="integration-forcepoint-ngfw"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw`

Forcepoint NGFWmemungkinkan Anda menghubungkan AWS lingkungan Anda ke jaringan perusahaan Anda dengan skalabilitas, perlindungan, dan wawasan yang diperlukan untuk mengelola jaringan Anda dan menanggapi ancaman.

[Tautan produk](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)

[Dokumentasi mitra](https://frcpnt.com/ngfw-securityhub)

### Fugue – Fugue
<a name="integration-fugue"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/fugue/fugue`

Fugueadalah platform cloud-native tanpa agen dan dapat diskalakan yang mengotomatiskan validasi berkelanjutan infrastructure-as-code dan lingkungan runtime cloud menggunakan kebijakan yang sama.

[Tautan produk](https://www.fugue.co/aws-security-hub-integration)

[Dokumentasi mitra](https://docs.fugue.co/integrations-aws-security-hub.html)

### Guardicore – Centra 4.0
<a name="integration-guardicore-centra"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/guardicore/guardicore`

Guardicore Centramenyediakan visualisasi aliran, segmentasi mikro, dan deteksi pelanggaran untuk beban kerja di pusat data dan cloud modern.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)

[Dokumentasi mitra](https://customers.guardicore.com/login)

### HackerOne – Vulnerability Intelligence
<a name="integration-hackerone-vulnerability-intelligence"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/hackerone/vulnerability-intelligence`

HackerOnePlatform ini bermitra dengan komunitas peretas global untuk mengungkap masalah keamanan yang paling relevan. Vulnerability Intelligencememungkinkan organisasi Anda melampaui pemindaian otomatis. Ini berbagi kerentanan yang telah divalidasi oleh peretas HackerOne etis dan memberikan langkah-langkah untuk mereproduksi.

[AWS tautan pasar](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)

[Dokumentasi mitra](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)

### JFrog – Xray
<a name="integration-jfrog-xray"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/jfrog/jfrog-xray`

JFrog Xrayadalah alat Analisis Komposisi Perangkat Lunak keamanan aplikasi universal (SCA) yang terus memindai binari untuk kepatuhan lisensi dan kerentanan keamanan sehingga Anda dapat menjalankan rantai pasokan perangkat lunak yang aman.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)

[Dokumentasi mitra](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)

### Juniper Networks – vSRX Next Generation Firewall
<a name="integration-junipernetworks-vsrxnextgenerationfirewall"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/juniper-networks/vsrx-next-generation-firewall`

Juniper Networks'VsRx Virtual Next Generation Firewall menghadirkan firewall virtual berbasis cloud lengkap dengan keamanan canggih, SD-WAN yang aman, jaringan yang kuat, dan otomatisasi bawaan.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)

[Dokumentasi mitra](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)

[Tautan produk](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)

### k9 Security – Access Analyzer
<a name="integration-k9-security-access-analyzer"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/k9-security/access-analyzer`

k9 Securitymemberi tahu Anda ketika perubahan akses penting terjadi di AWS Identity and Access Management akun Anda. Dengank9 Security, Anda dapat memahami akses yang dimiliki pengguna dan peran IAM terhadap data kritis Layanan AWS dan data Anda.

k9 Securitydibangun untuk pengiriman berkelanjutan, memungkinkan Anda untuk mengoperasionalkan IAM dengan audit akses yang dapat ditindaklanjuti dan otomatisasi kebijakan sederhana untuk dan Terraform. AWS CDK 

[Tautan produk](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)

[Dokumentasi mitra](https://www.k9security.io/docs/how-to-configure-k9-access/)

### Lacework – Lacework
<a name="integration-lacework"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/lacework/lacework`

Laceworkadalah platform keamanan berbasis data untuk cloud. Platform Keamanan Cloud Lacework mengotomatiskan keamanan cloud dalam skala besar sehingga Anda dapat berinovasi dengan kecepatan dan keamanan.

[Tautan produk](https://www.lacework.com/platform/aws/)

[Dokumentasi mitra](https://www.lacework.com/platform/aws/)

### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
<a name="integration-mcafee-mvision-cnapp"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`

McAfee MVISION Cloud Native Application Protection Platform (CNAPP)menawarkan Cloud Security Posture Management (CSPM) dan Cloud Workload Protection Platform (CWPP) untuk lingkungan Anda. AWS 

[Tautan produk](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)

[Dokumentasi mitra](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)

### NETSCOUT – NETSCOUT Cyber Investigator
<a name="integration-netscout-cyber-investigator"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/netscout/netscout-cyber-investigator`

NETSCOUT Cyber Investigatoradalah ancaman jaringan di seluruh perusahaan, investigasi risiko, dan platform analisis forensik yang membantu mengurangi dampak ancaman dunia maya pada bisnis.

[Tautan produk](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)

[Dokumentasi mitra](https://www.netscout.com/solutions/cyber-investigator-aws)

### Orca Cloud Security Platform
<a name="integration-orca-cloud-security-platform"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/orca-security/orca-security`

Orca Cloud Security PlatformIni mengidentifikasi, memprioritaskan, dan memulihkan risiko dan masalah kepatuhan di seluruh cloud estate Anda. Orca’splatform berbasis AI tanpa agen, menawarkan cakupan komprehensif yang mendeteksi kerentanan, kesalahan konfigurasi, pergerakan lateral, risiko API, data sensitif, peristiwa dan perilaku anomali, dan identitas yang terlalu permisif.

Orcaterintegrasi dengan Security Hub CSPM untuk menghadirkan telemetri keamanan cloud dalam ke Security Hub CSPM. Orca, menggunakan SideScanning teknologinya, memprioritaskan risiko di seluruh infrastruktur cloud, beban kerja, aplikasi, data, identitas APIs, dan banyak lagi.

[Tautan produk](https://orca.security/partners/technology/amazon-web-services-aws/)

[Dokumentasi mitra](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)

### Palo Alto Networks – Prisma Cloud Compute
<a name="integration-palo-alto-prisma-cloud-compute"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise`

Prisma Cloud Computeadalah platform keamanan siber asli cloud yang melindungi VMs, wadah, dan platform tanpa server.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentasi mitra](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)

### Palo Alto Networks – Prisma Cloud Enterprise
<a name="integration-palo-alto-prisma-cloud-enterprise"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock`

Melindungi AWS penyebaran Anda dengan analitik keamanan cloud, deteksi ancaman tingkat lanjut, dan pemantauan kepatuhan.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentasi mitra](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)

### Plerion – Cloud Security Platform
<a name="integration-plerion"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/plerion/cloud-security-platform`

Plerionadalah Platform Keamanan Cloud dengan pendekatan unik yang dipimpin oleh ancaman dan berbasis risiko yang menawarkan tindakan pencegahan, detektif, dan korektif di seluruh beban kerja Anda. Integrasi antara Plerion dan Security Hub CSPM memungkinkan pelanggan untuk memusatkan dan menindaklanjuti temuan keamanan mereka di satu tempat.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)

[Dokumentasi mitra](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)

### Prowler – Prowler
<a name="integration-prowler"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/prowler/prowler`

Prowleradalah alat keamanan open source untuk melakukan AWS pemeriksaan terkait praktik terbaik keamanan, pengerasan, dan pemantauan berkelanjutan.

[Tautan produk](https://github.com/prowler-cloud/prowler)

[Dokumentasi mitra](https://github.com/prowler-cloud/prowler#security-hub-integration)

### Qualys – Vulnerability Management
<a name="integration-qualys-vulnerability-management"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm`

Qualys Vulnerability Management (VM)terus memindai dan mengidentifikasi kerentanan, melindungi aset Anda.

[Tautan produk](https://www.qualys.com/public-cloud/#aws)

[Dokumentasi mitra](https://qualys-secure.force.com/discussions/s/article/000005831)

### Rapid7 – InsightVM
<a name="integration-rapid7-insightvm"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm`

Rapid7 InsightVMmenyediakan manajemen kerentanan untuk lingkungan modern, memungkinkan Anda menemukan, memprioritaskan, dan memulihkan kerentanan secara efisien.

[Tautan produk](https://www.rapid7.com/products/insightvm/)

[Dokumentasi mitra](https://docs.rapid7.com/insightvm/aws-security-hub/)

#### SentinelOne – SentinelOne
<a name="integration-sentinelone"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/sentinelone/endpoint-protection`

SentinelOneadalah platform deteksi dan respons tambahan (XDR) otonom yang mencakup pencegahan, deteksi, respons, dan perburuan bertenaga AI di seluruh titik akhir, wadah, beban kerja cloud, dan perangkat IoT.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)

[Tautan produk](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)

### Snyk
<a name="integration-snyk"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/snyk/snyk`

Snykmenyediakan platform keamanan yang memindai komponen aplikasi untuk risiko keamanan dalam beban kerja yang berjalan. AWS Risiko ini dikirim ke Security Hub CSPM sebagai temuan, membantu pengembang dan tim keamanan memvisualisasikan dan memprioritaskannya bersama dengan sisa temuan keamanan mereka. AWS 

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)

[Dokumentasi mitra](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)

### Sonrai Security – Sonrai Dig
<a name="integration-sonrai-dig"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/sonrai-security/sonrai-dig`

Sonrai Digmemantau dan memulihkan kesalahan konfigurasi cloud dan pelanggaran kebijakan, sehingga Anda dapat meningkatkan keamanan dan postur kepatuhan Anda.

[Tautan produk](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)

[Dokumentasi mitra](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)

### Sophos – Server Protection
<a name="integration-sophos-server-protection"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection`

Sophos Server Protectionmembela aplikasi dan data penting di inti organisasi Anda, menggunakan defense-in-depth teknik yang komprehensif.

[Tautan produk](https://www.sophos.com/en-us/products/cloud-native-security/aws)

### StackRox – StackRox Kubernetes Security
<a name="integration-stackrox-kubernetes-security"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security`

StackRoxmembantu perusahaan mengamankan container dan penerapan Kubernetes mereka dalam skala besar dengan menegakkan kebijakan kepatuhan dan keamanan mereka di seluruh siklus hidup container — build, deploy, dan run.

[Tautan produk](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)

[Dokumentasi mitra](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)

### Sumo Logic – Machine Data Analytics
<a name="integration-sumologic-machine-data-analytics"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda`

Sumo Logicadalah platform analisis data mesin yang aman yang memungkinkan tim operasi pengembangan dan keamanan untuk membangun, menjalankan, dan mengamankan AWS aplikasi mereka.

[Tautan produk](https://www.sumologic.com/application/aws-security-hub/)

[Dokumentasi mitra](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)

### Symantec – Cloud Workload Protection
<a name="integration-symantec-cloud-workload-protection"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp`

Cloud Workload Protectionmemberikan perlindungan lengkap untuk instans Amazon EC2 Anda dengan antimalware, pencegahan intrusi, dan pemantauan integritas file.

[Tautan produk](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)

[Dokumentasi mitra](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)

### Tenable – Tenable.io
<a name="integration-tenable-tenableio"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io`

Mengidentifikasi, menyelidiki, dan memprioritaskan kerentanan secara akurat. Dikelola di cloud.

[Tautan produk](https://www.tenable.com/)

[Dokumentasi mitra](https://github.com/tenable/Security-Hub)

### Trend Micro – Cloud One
<a name="integration-trend-micro"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/trend-micro/cloud-one`

Trend Micro Cloud Onememberikan informasi keamanan yang tepat kepada tim pada waktu dan tempat yang tepat. Integrasi ini mengirimkan temuan keamanan ke Security Hub CSPM secara real time, meningkatkan visibilitas ke AWS sumber daya dan detail Trend Micro Cloud One acara Anda di Security Hub CSPM.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)

[Dokumentasi mitra](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)

### Vectra – Cognito Detect
<a name="integration-vectra-ai-cognito-detect"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>:978576646331:product/vectra-ai/cognito-detect`

Vectramengubah keamanan siber dengan menerapkan AI canggih untuk mendeteksi dan merespons penyerang siber tersembunyi sebelum mereka dapat mencuri atau menyebabkan kerusakan.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)

[Dokumentasi mitra](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)

### Wiz – Wiz Security
<a name="integration-wiz"></a>

**Jenis integrasi:** Kirim

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/wiz-security/wiz-security`

Wizterus menganalisis konfigurasi, kerentanan, jaringan, pengaturan IAM, rahasia, dan lainnya di seluruh Anda, pengguna Akun AWS, dan beban kerja untuk menemukan masalah penting yang mewakili risiko aktual. Integrasikan Wiz dengan Security Hub CSPM untuk memvisualisasikan dan menanggapi masalah yang dideteksi Wiz dari konsol CSPM Security Hub.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)

[Dokumentasi mitra](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)

## Integrasi pihak ketiga yang menerima temuan dari Security Hub CSPM
<a name="integrations-third-party-receive"></a>

Integrasi produk mitra pihak ketiga berikut dapat menerima temuan dari Security Hub CSPM. Jika dicatat, produk mungkin juga memperbarui temuan. Dalam hal ini, pembaruan yang Anda buat untuk temuan dalam produk mitra juga tercermin dalam Security Hub CSPM.

### Atlassian - Jira Service Management
<a name="integration-atlassian-jira-service-management"></a>

**Jenis integrasi:** Terima dan perbarui

The AWS Service Management Connector for Jira mengirimkan temuan dari Security Hub CSPM ke. Jira Jiramasalah dibuat berdasarkan temuan. Ketika Jira masalah diperbarui, temuan terkait diperbarui di Security Hub CSPM.

Integrasi hanya mendukung Jira Server dan Jira Data Center.

Untuk gambaran umum tentang integrasi dan cara kerjanya, tonton video [AWS Security Hub CSPM — Integrasi dua arah](https://www.youtube.com/watch?v=uEKwu0M8S3M) dengan. Atlassian Jira Service Management

[Tautan produk](https://www.atlassian.com/software/jira/service-management)

[Dokumentasi mitra](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)

### Atlassian - Jira Service Management Cloud
<a name="integration-atlassian-jira-service-management-cloud"></a>

**Jenis integrasi:** Terima dan perbarui

Jira Service Management Cloudadalah komponen cloud dari Jira Service Management. 

The AWS Service Management Connector for Jira mengirimkan temuan dari Security Hub CSPM ke. Jira Temuan tersebut memicu terciptanya masalah diJira Service Management Cloud. Saat Anda memperbarui masalah tersebutJira Service Management Cloud, temuan terkait juga diperbarui di Security Hub CSPM.

[Tautan produk](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)

[Dokumentasi mitra](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)

### Atlassian – Opsgenie
<a name="integration-atlassian-opsgenie"></a>

**Jenis integrasi:** Terima

Opsgenieadalah solusi manajemen insiden modern untuk mengoperasikan layanan selalu aktif, memberdayakan tim pengembangan dan operasi untuk merencanakan gangguan layanan dan tetap memegang kendali selama insiden.

Mengintegrasikan dengan Security Hub CSPM memastikan bahwa insiden terkait keamanan kritis misi diarahkan ke tim yang sesuai untuk penyelesaian segera.

[Tautan produk](https://www.atlassian.com/software/opsgenie)

[Dokumentasi mitra](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)

### Dynatrace
<a name="integration-dynatrace"></a>

**Jenis integrasi:** Terima

DynatraceIntegrasi dengan Security Hub CSPM membantu menyatukan, memvisualisasikan, dan mengotomatiskan temuan keamanan di seluruh alat dan lingkungan. Menambahkan konteks Dynatrace runtime ke temuan keamanan memungkinkan prioritas yang lebih cerdas, membantu mengurangi kebisingan dari peringatan, dan memfokuskan DevSecOps tim Anda untuk memperbaiki masalah kritis yang memengaruhi lingkungan dan aplikasi produksi Anda secara efisien.

[Tautan produk](https://www.dynatrace.com/solutions/application-security/)

[Dokumentasi mitra](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)

### Elastic
<a name="integration-elastic"></a>

**Jenis integrasi:** Terima

Elasticmembangun solusi bertenaga penelusuran untuk keamanan, observabilitas, dan pencarian. Dengan integrasi CSPM Security Hub, menyerap temuan dan wawasan Elastic dari Security Hub CSPM secara terprogram, menormalkannya untuk korelasi dan analitik, dan menyajikan dasbor dan deteksi terpadu, memungkinkan triase dan investigasi yang lebih cepat tanpa menggunakan agen. Elastic Security

[Tautan produk](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)

[Dokumentasi mitra](https://www.elastic.co/docs/reference/integrations/aws/securityhub)

### Fortinet – FortiCNP
<a name="integration-fortinet-forticnp"></a>

**Jenis integrasi:** Terima

FortiCNPadalah produk Cloud Native Protection yang menggabungkan temuan keamanan ke dalam wawasan yang dapat ditindaklanjuti dan memprioritaskan wawasan keamanan berdasarkan skor risiko untuk mengurangi kelelahan waspada dan mempercepat remediasi.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)

[Dokumentasi mitra](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)

### IBM – QRadar
<a name="integration-ibm-qradar"></a>

**Jenis integrasi:** Terima

IBM QRadarSIEM memberi tim keamanan kemampuan untuk mendeteksi, memprioritaskan, menyelidiki, dan merespons ancaman dengan cepat dan akurat.

[Tautan produk](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)

[Dokumentasi mitra](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)

### Logz.io Cloud SIEM
<a name="integration-logzio-cloud-siem"></a>

**Jenis integrasi:** Terima

Logz.ioadalah penyedia Cloud SIEM yang menyediakan korelasi lanjutan data log dan peristiwa untuk membantu tim keamanan mendeteksi, menganalisis, dan menanggapi ancaman keamanan secara real time.

[Tautan produk](https://logz.io/solutions/cloud-monitoring-aws/)

[Dokumentasi mitra](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)

### MetricStream – CyberGRC
<a name="integration-metricstream"></a>

**Jenis integrasi:** Terima

MetricStream CyberGRCmembantu Anda mengelola, mengukur, dan mengurangi risiko keamanan siber. Dengan menerima temuan CSPM Security Hub, CyberGRC memberikan lebih banyak visibilitas terhadap risiko ini, sehingga Anda dapat memprioritaskan investasi keamanan siber dan mematuhi kebijakan TI.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)

[Tautan produk](https://www.metricstream.com/)

### MicroFocus – MicroFocus Arcsight
<a name="integration-microfocus-arcsight"></a>

**Jenis integrasi:** Terima

ArcSightmempercepat deteksi dan respons ancaman yang efektif secara real time, mengintegrasikan korelasi peristiwa dan analitik yang diawasi dan tanpa pengawasan dengan otomatisasi respons dan orkestrasi.

[Tautan produk](https://aws.amazon.com/marketplace/pp/B07RM918H7)

[Dokumentasi mitra](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)

### New Relic Vulnerability Management
<a name="integration-new-relic-vulnerability-management"></a>

**Jenis integrasi:** Terima

New Relic Vulnerability Managementmenerima temuan keamanan dari Security Hub CSPM, sehingga Anda bisa mendapatkan tampilan keamanan terpusat di samping telemetri kinerja dalam konteks di seluruh tumpukan Anda.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)

[Dokumentasi mitra](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)

### PagerDuty – PagerDuty
<a name="integration-pagerduty"></a>

**Jenis integrasi:** Terima

Platform manajemen operasi PagerDuty digital memberdayakan tim untuk secara proaktif mengurangi masalah yang berdampak pelanggan dengan secara otomatis mengubah sinyal apa pun menjadi wawasan dan tindakan yang tepat.

AWS pengguna dapat menggunakan PagerDuty serangkaian AWS integrasi untuk menskalakan lingkungan mereka AWS dan hibrida dengan percaya diri.

Ketika digabungkan dengan peringatan keamanan gabungan dan terorganisir CSPM Security Hub, PagerDuty memungkinkan tim untuk mengotomatiskan proses respons ancaman mereka dan dengan cepat mengatur tindakan khusus untuk mencegah potensi masalah.

PagerDutypengguna yang melakukan proyek migrasi cloud dapat bergerak dengan cepat, sekaligus mengurangi dampak masalah yang terjadi di seluruh siklus hidup migrasi.

[Tautan produk](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)

[Dokumentasi mitra](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)

### Palo Alto Networks – Cortex XSOAR
<a name="integration-palo-alto-cortex-xsoar"></a>

**Jenis integrasi:** Terima

Cortex XSOARadalah platform Security Orchestration, Automation, and Response (SOAR) yang terintegrasi dengan seluruh tumpukan produk keamanan Anda untuk mempercepat respons insiden dan operasi keamanan.

[Tautan produk](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)

[Dokumentasi mitra](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)

### Palo Alto Networks – VM-Series
<a name="integration-palo-alto-vmseries"></a>

**Jenis integrasi:** Terima

Palo Alto VM-SeriesIntegrasi dengan Security Hub CSPM mengumpulkan intelijen ancaman dan mengirimkannya ke firewall VM-Series generasi berikutnya sebagai pembaruan kebijakan keamanan otomatis yang memblokir aktivitas alamat IP berbahaya.

[Tautan produk](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

[Dokumentasi mitra](https://github.com/PaloAltoNetworks/pan_aws_security_hub)

### Rackspace Technology – Cloud Native Security
<a name="integration-rackspace-cloud-native-security"></a>

**Jenis integrasi:** Terima

Rackspace Technology menyediakan layanan keamanan terkelola di atas produk AWS keamanan asli untuk pemantauan 24x7x365 oleh Rackspace SOC, analisis lanjutan, dan remediasi ancaman.

[Tautan produk](https://www.rackspace.com/managed-aws/capabilities/security)

### Rapid7 – InsightConnect
<a name="integration-rapid7-insightconnect"></a>

**Jenis integrasi:** Terima

Rapid7 InsightConnectadalah solusi orkestrasi dan otomatisasi keamanan yang memungkinkan tim Anda mengoptimalkan operasi SOC dengan sedikit atau tanpa kode.

[Tautan produk](https://www.rapid7.com/platform/)

[Dokumentasi mitra](https://docs.rapid7.com/insightconnect/aws-security-hub/)

### RSA – RSA Archer
<a name="integration-rsa-archer"></a>

**Jenis integrasi:** Terima

RSA ArcherManajemen Risiko TI dan Keamanan memungkinkan Anda untuk menentukan aset mana yang penting bagi bisnis Anda, menetapkan dan mengkomunikasikan kebijakan dan standar keamanan, mendeteksi dan menanggapi serangan, mengidentifikasi dan memulihkan kekurangan keamanan, dan menetapkan praktik terbaik manajemen risiko TI yang jelas.

[Tautan produk](https://community.rsa.com/docs/DOC-111898)

[Dokumentasi mitra](https://community.rsa.com/docs/DOC-111898)

### ServiceNow – ITSM
<a name="integration-servicenow-itsm"></a>

**Jenis integrasi:** Terima dan perbarui

ServiceNowIntegrasi dengan Security Hub CSPM memungkinkan temuan keamanan dari Security Hub CSPM untuk dilihat di dalamnya. ServiceNow ITSM Anda juga dapat mengonfigurasi ServiceNow untuk secara otomatis membuat insiden atau masalah saat menerima temuan dari Security Hub CSPM.

Setiap pembaruan untuk insiden dan masalah ini menghasilkan pembaruan temuan di Security Hub CSPM.

Untuk ikhtisar integrasi dan cara kerjanya, tonton video [AWS Security Hub CSPM - Integrasi dua arah](https://www.youtube.com/watch?v=OYTi0sjEggE) dengan.  ServiceNow ITSM

[Tautan produk](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)

[Dokumentasi mitra](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)

### Slack – Slack
<a name="integration-slack"></a>

**Jenis integrasi:** Terima

Slackadalah lapisan tumpukan teknologi bisnis yang menyatukan orang, data, dan aplikasi. Ini adalah satu tempat di mana orang dapat bekerja sama secara efektif, menemukan informasi penting, dan mengakses ratusan ribu aplikasi dan layanan penting untuk melakukan pekerjaan terbaik mereka.

[Tautan produk](https://github.com/aws-samples/aws-securityhub-to-slack)

[Dokumentasi mitra](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)

### Splunk – Splunk Enterprise
<a name="integration-splunk-enterprise"></a>

**Jenis integrasi:** Terima

Splunkmenggunakan Amazon CloudWatch Events sebagai konsumen temuan CSPM Security Hub. Kirim data Anda ke Splunk untuk analitik keamanan tingkat lanjut dan SIEM.

[Tautan produk](https://splunkbase.splunk.com/app/5767)

[Dokumentasi mitra](https://github.com/splunk/splunk-for-securityHub)

### Splunk – Splunk Phantom
<a name="integration-splunk-phantom"></a>

**Jenis integrasi:** Terima

Dengan Splunk Phantom aplikasi untuk AWS Security Hub CSPM, temuan dikirim ke Phantom untuk pengayaan konteks otomatis dengan informasi intelijen ancaman tambahan atau untuk melakukan tindakan respons otomatis.

[Tautan produk](https://splunkbase.splunk.com/app/5767)

[Dokumentasi mitra](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)

### ThreatModeler
<a name="integration-threatmodeler"></a>

**Jenis integrasi:** Terima

ThreatModeleradalah solusi pemodelan ancaman otomatis yang mengamankan dan meningkatkan skala perangkat lunak perusahaan dan siklus hidup pengembangan cloud.

[Tautan produk](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)

[Dokumentasi mitra](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)

### Trellix – Trellix Helix
<a name="integration-fireeye-helix"></a>

**Jenis integrasi:** Terima

Trellix Helixadalah platform operasi keamanan yang dihosting cloud yang memungkinkan organisasi mengendalikan insiden apa pun dari peringatan untuk diperbaiki.

[Tautan produk](https://www.trellix.com/en-us/products/helix.html)

[Dokumentasi mitra](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)

## Integrasi pihak ketiga yang mengirimkan temuan ke dan menerima temuan dari Security Hub CSPM
<a name="integrations-third-party-send-receive"></a>

Integrasi produk mitra pihak ketiga berikut dapat mengirimkan temuan ke dan menerima temuan dari Security Hub CSPM.

### Caveonix – Caveonix Cloud
<a name="integration-caveonix-cloud"></a>

**Jenis integrasi:** Kirim dan terima

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/caveonix/caveonix-cloud`

Platform yang Caveonix didukung AI mengotomatiskan visibilitas, penilaian, dan mitigasi di cloud hybrid, yang mencakup layanan cloud-native, dan container. VMs Terintegrasi dengan AWS Security Hub CSPM, Caveonix menggabungkan AWS data dan analitik lanjutan untuk wawasan tentang peringatan keamanan dan kepatuhan.

[AWS Tautan Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)

[Dokumentasi mitra](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)

### Cloud Custodian – Cloud Custodian
<a name="integration-cloud-custodian"></a>

**Jenis integrasi:** Kirim dan terima

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian`

Cloud Custodianmemungkinkan pengguna untuk dikelola dengan baik di cloud. YAMM DSL yang sederhana memungkinkan aturan yang mudah didefinisikan untuk memungkinkan infrastruktur cloud yang dikelola dengan baik yang aman dan dioptimalkan biaya.

[Tautan produk](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

[Dokumentasi mitra](https://cloudcustodian.io/docs/aws/topics/securityhub.html)

### DisruptOps, Inc. – DisruptOPS
<a name="integration-disruptops"></a>

**Jenis integrasi:** Kirim dan terima

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops`

Platform Operasi DisruptOps Keamanan membantu organisasi mempertahankan praktik keamanan terbaik di cloud Anda melalui penggunaan pagar pembatas otomatis.

[Tautan produk](https://disruptops.com/ad/securityhub-isa/)

[Dokumentasi mitra](https://disruptops.com/securityhub/)

### Kion
<a name="integration-kion"></a>

**Jenis integrasi:** Kirim dan terima

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio`

Kion(sebelumnya cloudtamer.io) adalah solusi tata kelola cloud lengkap untuk. AWSKionmemberikan visibilitas pemangku kepentingan ke dalam operasi cloud dan membantu pengguna cloud mengelola akun, mengontrol anggaran dan biaya, dan memastikan kepatuhan berkelanjutan.

[Tautan produk](https://kion.io/partners/aws)

[Dokumentasi mitra](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)

### Turbot – Turbot
<a name="integration-turbot"></a>

**Jenis integrasi:** Kirim dan terima

**Produk ARN:** `arn:aws:securityhub:<REGION>::product/turbot/turbot`

Turbotmemastikan bahwa infrastruktur cloud Anda aman, sesuai, terukur, dan dioptimalkan biaya.

[Tautan produk](https://turbot.com/features/)

[Dokumentasi mitra](https://turbot.com/blog/2018/11/aws-security-hub/)

# Mengintegrasikan Security Hub CSPM dengan produk khusus
<a name="securityhub-custom-providers"></a>

Selain temuan yang dihasilkan oleh AWS layanan terintegrasi dan produk pihak ketiga, AWS Security Hub CSPM dapat mengkonsumsi temuan yang dihasilkan oleh produk keamanan khusus lainnya.

Anda dapat mengirimkan temuan ini ke Security Hub CSPM dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)pengoperasian Security Hub CSPM API. Anda dapat menggunakan operasi yang sama untuk memperbarui temuan dari produk kustom yang telah Anda kirim ke Security Hub CSPM.

Saat menyiapkan integrasi kustom, gunakan [pedoman dan daftar periksa](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) yang disediakan di Panduan Integrasi Mitra *CSPM Security Hub*.

## Persyaratan dan rekomendasi untuk integrasi produk khusus
<a name="securityhub-custom-providers-bfi-reqs"></a>

Sebelum Anda berhasil menjalankan operasi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)API, Anda harus mengaktifkan Security Hub CSPM.

Anda juga harus memberikan rincian temuan untuk produk kustom menggunakan[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md). Tinjau persyaratan dan rekomendasi berikut untuk integrasi produk khusus:

**Mengatur ARN produk**  
Saat Anda mengaktifkan Security Hub CSPM, produk default Amazon Resource Name (ARN) untuk Security Hub CSPM akan dibuat di akun Anda saat ini.  
Produk ARN ini memiliki format sebagai berikut:. `arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default` Misalnya, `arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`.  
Gunakan ARN produk ini sebagai nilai untuk [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn)atribut saat menjalankan operasi API. `BatchImportFindings`

**Menetapkan nama perusahaan dan produk**  
Anda dapat menggunakan `BatchImportFindings` untuk menetapkan nama perusahaan dan nama produk pilihan untuk integrasi kustom yang mengirimkan temuan ke Security Hub CSPM.  
Nama yang Anda tentukan menggantikan nama perusahaan dan nama produk yang telah dikonfigurasi sebelumnya, masing-masing disebut nama pribadi dan nama default, dan muncul di konsol CSPM Security Hub dan JSON dari setiap temuan. Lihat [BatchImportFindings untuk menemukan penyedia](finding-update-batchimportfindings.md).

**Mengatur temuan IDs**  
Anda harus menyediakan, mengelola, dan meningkatkan temuan Anda sendiri IDs, menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)atribut.  
Setiap temuan baru harus memiliki ID temuan unik. Jika produk kustom mengirimkan beberapa temuan dengan ID temuan yang sama, Security Hub CSPM hanya memproses temuan pertama.

**Mengatur ID akun**  
Anda harus menentukan ID akun Anda sendiri, menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId)atribut.

**Mengatur yang dibuat pada dan diperbarui pada tanggal**  
Anda harus menyediakan stempel waktu Anda sendiri untuk atribut [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt)dan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt).

## Memperbarui temuan dari produk khusus
<a name="securityhub-custom-providers-update-findings"></a>

Selain mengirimkan temuan baru dari produk kustom, Anda juga dapat menggunakan operasi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)API untuk memperbarui temuan yang ada dari produk kustom.

Untuk memperbarui temuan yang ada, gunakan ID temuan yang ada (melalui [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)atribut). Kirim ulang temuan lengkap dengan informasi yang sesuai yang diperbarui dalam permintaan, termasuk [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt)stempel waktu yang dimodifikasi.

## Contoh integrasi kustom
<a name="securityhub-custom-providers-examples"></a>

Anda dapat menggunakan contoh integrasi produk kustom berikut sebagai panduan untuk membuat solusi kustom Anda sendiri:

**Mengirim temuan dari Chef InSpec pemindaian ke Security Hub CSPM**  
Anda dapat membuat CloudFormation template yang menjalankan [Chef InSpec](https://www.chef.io/products/chef-inspec/) pemindaian kepatuhan dan kemudian mengirimkan temuan ke Security Hub CSPM.  
Untuk detail selengkapnya, lihat [Pemantauan kepatuhan berkelanjutan dengan Chef InSpec dan CSPM AWS Security Hub](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).

**Mengirim kerentanan kontainer terdeteksi oleh Trivy ke Security Hub CSPM**  
Anda dapat membuat CloudFormation templat yang digunakan [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) untuk memindai kerentanan kontainer, lalu mengirimkan temuan kerentanan tersebut ke Security Hub CSPM.  
Untuk detail selengkapnya, lihat [Cara membuat CI/CD pipeline untuk pemindaian kerentanan kontainer dengan Trivy dan AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/).

# Membuat dan memperbarui temuan di Security Hub CSPM
<a name="securityhub-findings"></a>

Dalam AWS Security Hub CSPM, *temuan* adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Temuan dapat berasal dari salah satu sumber berikut:
+ Pemeriksaan keamanan untuk kontrol di Security Hub CSPM.
+ Integrasi dengan yang lain Layanan AWS.
+ Integrasi dengan produk pihak ketiga.
+ Integrasi kustom.

Security Hub CSPM menormalkan temuan dari semua sumber ke dalam sintaks dan format standar yang disebut *AWS Security Finding Format* (ASFF). Untuk informasi rinci tentang format ini, termasuk deskripsi bidang ASFF individual, lihat. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) Jika Anda mengaktifkan agregasi Lintas wilayah, Security Hub CSPM juga mengumpulkan temuan baru dan yang diperbarui secara otomatis dari semua Wilayah tertaut ke Wilayah agregasi yang Anda tentukan. Untuk informasi selengkapnya, lihat [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).

Setelah temuan dibuat, itu dapat diperbarui sebagai berikut:
+ Penyedia temuan dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)pengoperasian Security Hub CSPM API untuk memperbarui informasi umum tentang temuan tersebut. Penyedia pencarian hanya dapat memperbarui temuan yang mereka buat.
+ Pelanggan dapat menggunakan konsol CSPM Security Hub atau [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)pengoperasian Security Hub CSPM API untuk memperbarui status penyelidikan ke dalam temuan. `BatchUpdateFindings`Operasi ini juga dapat digunakan oleh SIEM, tiket, manajemen insiden, SOAR, atau jenis alat lain atas nama pelanggan.

Untuk mengurangi kebisingan penemuan dan merampingkan pelacakan dan analisis temuan individu, Security Hub CSPM secara otomatis menghapus temuan yang belum diperbarui baru-baru ini. Waktu dimana Security Hub CSPM melakukan hal ini tergantung pada apakah suatu temuan aktif atau diarsipkan:
+ *Temuan aktif* adalah temuan yang status catatannya (`RecordState`)`ACTIVE`. Security Hub CSPM menyimpan temuan aktif selama 90 hari. Jika temuan aktif belum diperbarui selama 90 hari, itu kedaluwarsa dan Security Hub CSPM menghapusnya secara permanen.
+ *Temuan yang diarsipkan adalah temuan* yang status catatan (`RecordState`) adalah`ARCHIVED`. Security Hub CSPM menyimpan temuan yang diarsipkan selama 30 hari. Jika temuan yang diarsipkan belum diperbarui selama 30 hari, temuan tersebut akan kedaluwarsa dan Security Hub CSPM menghapusnya secara permanen.

Untuk temuan kontrol, yang merupakan temuan yang dihasilkan oleh Security Hub CSPM dari pemeriksaan keamanan untuk kontrol, Security Hub CSPM menentukan apakah temuan telah kedaluwarsa berdasarkan nilai bidang temuan. `UpdatedAt` Jika nilai ini lebih dari 90 hari yang lalu untuk temuan aktif, Security Hub CSPM secara permanen menghapus temuan tersebut. Jika nilai ini lebih dari 30 hari yang lalu untuk temuan yang diarsipkan, Security Hub CSPM secara permanen menghapus temuan tersebut.

Untuk semua jenis temuan lainnya, Security Hub CSPM menentukan apakah temuan telah kedaluwarsa berdasarkan nilai untuk `ProcessedAt` dan `UpdatedAt` bidang temuan. Security Hub CSPM membandingkan nilai untuk bidang ini dan menentukan mana yang lebih baru. Jika nilai yang lebih baru lebih dari 90 hari yang lalu untuk temuan aktif, Security Hub CSPM secara permanen menghapus temuan tersebut. Jika nilai yang lebih baru lebih dari 30 hari yang lalu untuk temuan yang diarsipkan, Security Hub CSPM secara permanen menghapus temuan tersebut. Penyedia pencarian dapat mengubah nilai untuk `UpdatedAt` bidang satu atau lebih temuan dengan menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)pengoperasian Security Hub CSPM API.

Untuk retensi temuan jangka panjang, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

**Topics**
+ [BatchImportFindings untuk menemukan penyedia](finding-update-batchimportfindings.md)
+ [BatchUpdateFindings untuk pelanggan](finding-update-batchupdatefindings.md)
+ [Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md)
+ [Penyaringan temuan di Security Hub CSPM](securityhub-findings-manage.md)
+ [Mengelompokkan temuan di Security Hub CSPM](finding-list-grouping.md)
+ [Menetapkan status alur kerja temuan di Security Hub CSPM](findings-workflow-status.md)
+ [Mengirim temuan ke tindakan CSPM Security Hub kustom](findings-custom-action.md)
+ [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md)

# BatchImportFindings untuk menemukan penyedia
<a name="finding-update-batchimportfindings"></a>

Penyedia pencarian dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi untuk membuat temuan baru di AWS Security Hub CSPM. Mereka juga dapat menggunakan operasi ini untuk memperbarui temuan yang mereka buat. Menemukan penyedia tidak dapat memperbarui temuan yang tidak mereka buat.

Pelanggan SIEMs, tiket, SOAR, dan jenis alat lainnya harus menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi untuk membuat pembaruan terkait dengan penyelidikan mereka terhadap temuan dari penyedia pencarian. Untuk informasi selengkapnya, lihat [BatchUpdateFindings untuk pelanggan](finding-update-batchupdatefindings.md).

Ketika Security Hub CSPM menerima `BatchImportFindings` permintaan untuk membuat atau memperbarui temuan, itu secara otomatis menghasilkan **Security Hub Findings - Imported**peristiwa di Amazon. EventBridge Anda dapat mengambil tindakan otomatis pada acara itu. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

## Prasyarat untuk menggunakan `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings`harus dipanggil oleh salah satu dari berikut ini:
+ Akun yang terkait dengan temuan. Pengidentifikasi akun terkait harus sesuai dengan nilai `AwsAccountId` atribut untuk temuan tersebut.
+ Akun yang diizinkan terdaftar sebagai integrasi mitra CSPM Security Hub resmi.

Security Hub CSPM hanya dapat menerima pembaruan pencarian untuk akun yang mengaktifkan Security Hub CSPM. Penyedia temuan juga harus diaktifkan. Jika Security Hub CSPM dinonaktifkan, atau integrasi penyedia pencarian tidak diaktifkan, maka temuan akan dikembalikan dalam `FailedFindings` daftar, dengan kesalahan`InvalidAccess`.

## Menentukan apakah akan membuat atau memperbarui temuan
<a name="batchimportfindings-create-or-update"></a>

Untuk menentukan apakah akan membuat atau memperbarui temuan, Security Hub CSPM memeriksa bidang tersebut. `ID` Jika nilai `ID` tidak sesuai dengan temuan yang ada, Security Hub CSPM akan membuat temuan baru.

Jika `ID` cocok dengan temuan yang ada, Security Hub CSPM memeriksa `UpdatedAt` bidang untuk pembaruan, dan melanjutkan sebagai berikut:
+ Jika `UpdatedAt` pada pembaruan cocok atau terjadi sebelumnya `UpdatedAt` pada temuan yang ada, Security Hub CSPM mengabaikan permintaan pembaruan.
+ Jika `UpdatedAt` pada pembaruan terjadi setelah `UpdatedAt` pada temuan yang ada, Security Hub CSPM memperbarui temuan yang ada.

## Pembatasan untuk menemukan pembaruan dengan `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Penyedia pencarian tidak dapat digunakan `BatchImportFindings` untuk memperbarui atribut berikut dari temuan yang ada:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM mengabaikan konten apa pun yang disediakan dalam `BatchImportFindings` permintaan atribut ini. Pelanggan, atau entitas yang bertindak atas nama mereka (seperti alat tiket), dapat menggunakannya `BatchUpdateFindings` untuk memperbarui atribut ini.

## Memperbarui temuan dengan FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Penyedia pencarian juga tidak boleh digunakan `BatchImportFindings` untuk memperbarui atribut tingkat atas berikut di AWS Security Finding Format (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Sebaliknya, mencari penyedia harus menggunakan [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)objek untuk memberikan nilai untuk atribut ini.

**Contoh**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Untuk `BatchImportFindings` permintaan, Security Hub CSPM menangani nilai di atribut tingkat atas dan sebagai berikut. [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)

**(Preferred) `BatchImportFindings` memberikan nilai untuk atribut di [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), tetapi tidak memberikan nilai untuk atribut tingkat atas yang sesuai.**  
Misalnya, `BatchImportFindings` menyediakan`FindingProviderFields.Confidence`, tetapi tidak menyediakan`Confidence`. Ini adalah opsi yang lebih disukai untuk `BatchImportFindings` permintaan.  
Security Hub CSPM memperbarui nilai atribut di. `FindingProviderFields`  
Ini mereplikasi nilai ke atribut tingkat atas hanya jika atribut belum diperbarui oleh. `BatchUpdateFindings`

**`BatchImportFindings`memberikan nilai untuk atribut tingkat atas, tetapi tidak memberikan nilai untuk atribut yang sesuai di`FindingProviderFields`.**  
Misalnya, `BatchImportFindings` menyediakan`Confidence`, tetapi tidak menyediakan`FindingProviderFields.Confidence`.  
Security Hub CSPM menggunakan nilai untuk memperbarui atribut di. `FindingProviderFields` Ini menimpa nilai yang ada.  
Security Hub CSPM memperbarui atribut tingkat atas hanya jika atribut belum diperbarui oleh. `BatchUpdateFindings`

**`BatchImportFindings`memberikan nilai untuk atribut tingkat atas dan atribut yang sesuai di`FindingProviderFields`.**  
Misalnya, `BatchImportFindings` menyediakan keduanya `Confidence` dan`FindingProviderFields.Confidence`.  
Untuk temuan baru, Security Hub CSPM menggunakan nilai dalam `FindingProviderFields` untuk mengisi atribut tingkat atas dan atribut yang sesuai. `FindingProviderFields` Itu tidak menggunakan nilai atribut tingkat atas yang disediakan.  
Untuk temuan yang ada, Security Hub CSPM menggunakan kedua nilai. Namun, itu memperbarui nilai atribut tingkat atas hanya jika atribut belum diperbarui oleh`BatchUpdateFindings`.

# BatchUpdateFindings untuk pelanggan
<a name="finding-update-batchupdatefindings"></a>

AWS Pelanggan CSPM Security Hub, dan entitas yang bertindak atas nama mereka, dapat menggunakan [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi untuk memperbarui informasi yang terkait dengan pemrosesan temuan CSPM Security Hub dari penyedia pencarian. Sebagai pelanggan, Anda dapat menggunakan operasi ini secara langsung. SIEM, tiket, manajemen insiden, dan alat SOAR juga dapat menggunakan operasi ini atas nama pelanggan.

Anda tidak dapat menggunakan `BatchUpdateFindings` operasi untuk membuat temuan baru. Namun, Anda dapat menggunakannya untuk memperbarui hingga 100 temuan yang ada sekaligus. Dalam `BatchUpdateFindings` permintaan, Anda menentukan temuan mana yang akan diperbarui, bidang AWS Security Finding Format (ASFF) mana yang akan diperbarui untuk temuan, dan nilai baru untuk bidang tersebut. Security Hub CSPM kemudian memperbarui temuan seperti yang ditentukan dalam permintaan Anda. Proses ini dapat memakan waktu beberapa menit. Jika Anda memperbarui temuan dengan menggunakan `BatchUpdateFindings` operasi, pembaruan Anda tidak memengaruhi nilai yang ada untuk `UpdatedAt` bidang temuan.

Ketika Security Hub CSPM menerima `BatchUpdateFindings` permintaan untuk memperbarui temuan, itu secara otomatis menghasilkan **Security Hub Findings – Imported**peristiwa di Amazon. EventBridge Anda dapat menggunakan acara ini secara opsional untuk mengambil tindakan otomatis pada temuan yang ditentukan. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

## Bidang yang tersedia untuk BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Jika Anda masuk ke akun administrator CSPM Security Hub, Anda dapat menggunakannya `BatchUpdateFindings` untuk memperbarui temuan yang dihasilkan oleh akun administrator atau akun anggota. Akun anggota dapat digunakan `BatchUpdateFindings` untuk memperbarui temuan hanya untuk akun mereka.

Pelanggan dapat menggunakan `BatchUpdateFindings` untuk memperbarui bidang dan objek berikut:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Mengkonfigurasi akses ke BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

Anda dapat mengonfigurasi kebijakan AWS Identity and Access Management (IAM) untuk membatasi akses penggunaan `BatchUpdateFindings` untuk memperbarui bidang pencarian dan nilai bidang.

Dalam pernyataan untuk membatasi akses ke`BatchUpdateFindings`, gunakan nilai-nilai berikut:
+ `Action`adalah `securityhub:BatchUpdateFindings`
+ `Effect`adalah `Deny`
+ Untuk`Condition`, Anda dapat menolak `BatchUpdateFindings` permintaan berdasarkan hal berikut:
  + Temuan ini mencakup bidang tertentu.
  + Temuan ini mencakup nilai bidang tertentu.

### Kunci syarat
<a name="batchupdatefindings-configure-access-context-keys"></a>

Ini adalah kunci kondisi untuk membatasi akses ke`BatchUpdateFindings`.

**Bidang ASFF**  
Kunci kondisi untuk bidang ASFF adalah sebagai berikut:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Ganti `<fieldName>` dengan bidang ASFF. Saat mengonfigurasi akses ke`BatchUpdateFindings`, sertakan satu atau lebih bidang ASFF spesifik dalam kebijakan IAM Anda, bukan bidang tingkat induk. Misalnya, untuk membatasi akses ke `Workflow.Status` bidang, Anda harus menyertakan ` securityhub:ASFFSyntaxPath/Workflow.Status` dalam kebijakan, bukan bidang tingkat `Workflow` induk.

### Melarangi semua pembaruan ke bidang
<a name="batchupdatefindings-configure-access-block-field"></a>

Untuk mencegah pengguna melakukan pembaruan apa pun ke bidang tertentu, gunakan kondisi seperti ini:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Misalnya, pernyataan berikut menunjukkan bahwa tidak `BatchUpdateFindings` dapat digunakan untuk memperbarui `Workflow.Status` bidang temuan.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Melarangi nilai bidang tertentu
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Untuk mencegah pengguna menyetel bidang ke nilai tertentu, gunakan kondisi seperti ini:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Misalnya, pernyataan berikut menunjukkan bahwa tidak `BatchUpdateFindings` dapat digunakan untuk mengatur `Workflow.Status` ke`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

Anda juga dapat memberikan daftar nilai yang tidak diizinkan.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Misalnya, pernyataan berikut menunjukkan bahwa tidak `BatchUpdateFindings` dapat digunakan untuk mengatur `Workflow.Status` ke salah satu `RESOLVED` atau`SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```

# Meninjau detail dan riwayat penemuan di Security Hub CSPM
<a name="securityhub-findings-viewing"></a>

Dalam AWS Security Hub CSPM, *temuan* adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub CSPM menghasilkan temuan ketika menyelesaikan pemeriksaan keamanan kontrol dan ketika menelan temuan dari produk terintegrasi Layanan AWS atau pihak ketiga. Setiap temuan mencakup riwayat perubahan dan detail lainnya, seperti peringkat keparahan dan informasi tentang sumber daya yang terpengaruh.

Anda dapat meninjau riwayat dan detail lain dari temuan individual di konsol CSPM Security Hub atau secara terprogram dengan Security Hub CSPM API atau. AWS CLI

Untuk membantu Anda merampingkan analisis, konsol CSPM Security Hub menampilkan panel pencarian saat Anda memilih temuan tertentu. Panel mencakup berbagai menu dan tab untuk meninjau detail spesifik dari sebuah temuan.

**Menu tindakan**  
Dari menu ini, Anda dapat meninjau JSON lengkap dari sebuah temuan atau menambahkan catatan. Sebuah temuan hanya dapat memiliki satu catatan yang melekat padanya pada satu waktu. Menu ini juga menyediakan opsi untuk [mengatur status alur kerja temuan](findings-workflow-status.md) atau [mengirim temuan ke tindakan khusus](findings-custom-action.md) di Amazon EventBridge.

**Selidiki menu**  
Dari menu ini, Anda dapat menyelidiki temuan di Amazon Detective. Detective mengekstrak entitas, seperti alamat IP dan AWS pengguna, dari temuan dan memvisualisasikan aktivitas mereka. Anda dapat menggunakan aktivitas entitas sebagai titik awal untuk menyelidiki penyebab dan dampak temuan.

**Tab Ikhtisar**  
Tab ini memberikan ringkasan temuan. Misalnya, Anda dapat menentukan kapan temuan dibuat dan terakhir diperbarui, di akun mana itu ada, dan sumber temuan. Untuk temuan kontrol, tab ini juga menampilkan nama AWS Config aturan terkait dan tautan ke panduan remediasi dalam dokumentasi CSPM Security Hub.  
Dalam snapshot **Sumber Daya** pada tab **Ikhtisar**, Anda bisa mendapatkan gambaran singkat tentang sumber daya yang terlibat dalam temuan. Untuk beberapa sumber daya, ini termasuk opsi **sumber daya terbuka**, yang menautkan langsung ke sumber daya yang terkena dampak pada Layanan AWS konsol yang relevan. Cuplikan **Sejarah** menunjukkan hingga dua perubahan yang dibuat pada temuan pada tanggal terbaru di mana sejarah sedang dilacak. Misalnya, jika Anda membuat satu perubahan kemarin dan satu lagi hari ini, snapshot menunjukkan perubahan hari ini. Untuk meninjau entri sebelumnya, beralih ke tab **Riwayat**.  
Baris **Kepatuhan** diperluas untuk menampilkan detail selengkapnya. Misalnya, jika kontrol menyertakan parameter, Anda dapat meninjau nilai parameter yang saat ini digunakan Security Hub CSPM saat ini saat melakukan pemeriksaan keamanan untuk kontrol.

**Tab sumber daya**  
Tab ini memberikan rincian tentang sumber daya yang terlibat dalam temuan. Jika Anda masuk ke akun yang memiliki sumber daya, Anda dapat meninjau sumber daya di Layanan AWS konsol yang berlaku. Jika Anda bukan pemilik sumber daya, tab ini menampilkan Akun AWS ID untuk pemiliknya.  
Baris **Detail** menunjukkan detail spesifik sumber daya dalam sebuah temuan. Ini menunjukkan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)bagian temuan dalam format JSON.  
Baris **Tag** menunjukkan kunci tag dan nilai yang ditetapkan ke sumber daya yang terlibat dalam temuan. Sumber daya yang [didukung oleh GetResources pengoperasian](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) API AWS Resource Groups Tagging dapat diberi tag. Security Hub CSPM memanggil operasi ini dengan menggunakan [peran terkait layanan](using-service-linked-roles.md) saat memproses temuan baru atau yang diperbarui, dan mengambil tag sumber daya jika bidang AWS Security Finding Format (ASFF) `Resource.Id` diisi dengan ARN sumber daya. Security Hub CSPM mengabaikan sumber daya yang tidak valid. IDs Untuk informasi lebih lanjut tentang penyertaan tag sumber daya dalam temuan, lihat[Tag](asff-resources-attributes.md#asff-resources-tags).

**Tab sejarah**  
Tab ini melacak riwayat temuan. Menemukan riwayat tersedia untuk temuan aktif dan diarsipkan. Ini memberikan jejak perubahan yang tidak dapat diubah yang dibuat untuk temuan dari waktu ke waktu, termasuk bidang ASFF apa yang diubah, kapan perubahan terjadi, dan oleh pengguna mana. Setiap halaman pada tab menampilkan hingga 20 perubahan. Perubahan yang lebih baru ditampilkan terlebih dahulu.  
Untuk temuan aktif, riwayat penemuan tersedia hingga 90 hari. Untuk temuan yang diarsipkan, riwayat penemuan tersedia hingga 30 hari. Menemukan riwayat mencakup perubahan yang dilakukan secara manual, atau secara otomatis oleh aturan [otomatisasi CSPM Security Hub](automation-rules.md). Itu tidak termasuk perubahan pada bidang stempel waktu tingkat atas, seperti bidang dan`CreatedAt`. `UpdatedAt`  
Jika Anda masuk ke akun administrator CSPM Security Hub, menemukan riwayat adalah untuk akun administrator dan semua akun anggota.

**Tab ancaman**  
Tab ini mencakup data dari [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html),, dan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html)objek ASFF, termasuk jenis ancaman dan apakah sumber daya adalah target atau aktor. Rincian ini biasanya berlaku untuk temuan yang berasal dari Amazon GuardDuty.

**Tab Kerentanan**  
Tab ini menampilkan data dari [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)objek ASFF, termasuk apakah ada eksploitasi atau perbaikan yang tersedia terkait dengan temuan. Rincian ini biasanya berlaku untuk temuan yang berasal dari Amazon Inspector.

Baris pada setiap tab menyertakan opsi salin atau filter. Misalnya, jika Anda membuka panel untuk temuan yang memiliki status alur kerja **Notified**, Anda dapat memilih opsi filter di sebelah baris status **Alur Kerja**. Jika Anda memilih **Tampilkan semua temuan dengan nilai ini**, CSPM Security Hub memfilter tabel temuan dan hanya menampilkan temuan dengan status alur kerja yang sama.

## Meninjau detail dan riwayat penemuan
<a name="finding-view-details-console"></a>

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk meninjau detail pencarian di Security Hub CSPM.

Jika Anda mengaktifkan agregasi lintas wilayah dan masuk ke Wilayah agregasi, menemukan data mencakup data dari Wilayah agregasi dan Wilayah tertaut. Di Wilayah lain, menemukan data khusus untuk Wilayah itu saja. Untuk informasi selengkapnya tentang agregasi lintas wilayah, lihat. [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md)

------
#### [ Security Hub CSPM console ]

**Meninjau detail dan riwayat penemuan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Untuk menampilkan daftar temuan, lakukan salah satu hal berikut:
   + Di panel navigasi, pilih **Temuan**. Tambahkan filter pencarian seperlunya untuk mempersempit daftar temuan.
   + Pada panel navigasi, silakan pilih **Wawasan**. Pilih wawasan. Kemudian, dalam daftar hasil, pilih hasil wawasan.
   + Di panel navigasi, pilih **Integrasi**. Pilih **Lihat temuan** untuk integrasi.
   + Di panel navigasi, pilih **Kontrol**.

1. Pilih temuan. Panel temuan menampilkan detail temuan.

1. Di panel pencarian, lakukan salah satu hal berikut:
   + Untuk meninjau detail spesifik untuk temuan, pilih tab.
   + Untuk mengambil tindakan pada temuan, pilih opsi dari menu **Tindakan**.
   + Untuk menyelidiki temuan di Detektif Amazon, pilih opsi **Selidiki**.

**catatan**  
Jika Anda berintegrasi dengan AWS Organizations dan Anda masuk ke akun anggota, panel pencarian menyertakan nama akun. Untuk akun anggota yang diundang secara manual, bukan melalui Organizations, panel pencarian hanya menyertakan ID akun.

------
#### [ Security Hub CSPM API ]

Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian Security Hub CSPM API, atau jika Anda menggunakan AWS CLI, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) Anda dapat memberikan satu atau lebih nilai untuk `Filters` parameter untuk mempersempit temuan untuk diambil.

Jika volume hasil terlalu besar, Anda dapat menggunakan `MaxResults` parameter untuk membatasi temuan ke angka tertentu dan `NextToken` parameter untuk membuat halaman temuan. Gunakan `SortCriteria` parameter untuk mengurutkan temuan berdasarkan bidang tertentu.

Misalnya, AWS CLI perintah berikut mengambil temuan yang cocok dengan kriteria filter yang ditentukan, dan mengurutkan hasil dalam urutan menurun menurut bidang. `LastObservedAt` Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Untuk meninjau riwayat penemuan, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)perintah. Identifikasi temuan yang ingin Anda dapatkan riwayat dengan `Id` bidang `ProductArn` dan. Untuk informasi tentang bidang ini, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Setiap permintaan dapat mengambil riwayat hanya untuk satu temuan.

Misalnya, AWS CLI perintah berikut mengambil riwayat untuk temuan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Gunakan `Get-SHUBFinding` cmdlet. Secara opsional mengisi `Filter` parameter untuk mempersempit temuan untuk diambil.

Misalnya, cmdlet berikut mengambil temuan yang cocok dengan filter yang ditentukan.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**catatan**  
Jika Anda memfilter temuan oleh `CompanyName` atau`ProductName`, Security Hub CSPM menggunakan nilai yang merupakan bagian dari objek `ProductFields` ASFF. Security Hub CSPM tidak menggunakan top-level `CompanyName` dan field. `ProductName`

# Penyaringan temuan di Security Hub CSPM
<a name="securityhub-findings-manage"></a>

AWS Security Hub CSPM menghasilkan temuannya sendiri dari pemeriksaan keamanan dan menerima temuan dari produk terintegrasi. Anda dapat menampilkan daftar temuan di halaman **Temuan**, **Integrasi**, dan **Wawasan konsol** CSPM Security Hub. Anda dapat menambahkan filter untuk mempersempit daftar temuan sehingga daftar tersebut relevan dengan organisasi atau kasus penggunaan Anda.

Untuk informasi tentang memfilter temuan untuk kontrol keamanan tertentu, lihat[Penyaringan dan penyortiran temuan kontrol](control-finding-list.md). Informasi di halaman ini berlaku untuk halaman **Temuan**, **Wawasan**, dan **Integrasi.**

## Filter default pada daftar pencarian
<a name="finding-list-default-filters"></a>

Secara default, daftar pencarian di konsol CSPM Security Hub difilter berdasarkan `RecordState` dan `Workflow.Status` bidang AWS Security Finding Format (ASFF). Ini adalah tambahan untuk filter untuk wawasan atau integrasi tertentu.

Status rekaman menunjukkan apakah temuan aktif atau diarsipkan. Secara default, daftar temuan hanya menunjukkan temuan aktif. Penyedia pencarian dapat mengarsipkan temuan jika tidak lagi aktif atau penting. Security Hub CSPM juga secara otomatis mengarsipkan temuan kontrol jika sumber daya terkait dihapus.

Status alur kerja menunjukkan status investigasi terhadap suatu temuan. Secara default, daftar temuan hanya menampilkan temuan dengan status alur kerja `NEW` atau`NOTIFIED`. Anda dapat memperbarui status alur kerja temuan.

## Petunjuk untuk menambahkan filter
<a name="finding-list-filters"></a>

Anda dapat memfilter daftar temuan hingga sepuluh atribut. Untuk setiap atribut, Anda dapat memberikan hingga 20 nilai filter.

Saat memfilter daftar temuan, Security Hub CSPM menerapkan `AND` logika ke kumpulan filter. Temuan hanya cocok jika cocok dengan semua filter yang disediakan. Misalnya, jika Anda menambahkan GuardDuty sebagai filter untuk **nama Produk**, dan `AwsS3Bucket` sebagai filter untuk **jenis Sumber Daya**, CSPM Security Hub menampilkan temuan yang cocok dengan kedua kriteria ini.

Security Hub CSPM menerapkan `OR` logika untuk filter yang menggunakan atribut yang sama tetapi nilai yang berbeda. Misalnya, jika Anda menambahkan keduanya GuardDuty dan Amazon Inspector sebagai nilai filter untuk **nama Produk**, Security Hub CSPM menampilkan temuan yang dihasilkan oleh salah satu atau Amazon GuardDuty Inspector.

**Untuk menambahkan filter ke daftar temuan (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Untuk menampilkan daftar temuan, lakukan salah satu tindakan berikut dari panel navigasi:
   + Pilih **Temuan**.
   + Pilih **Wawasan**. Pilih wawasan. Kemudian, pada daftar hasil, pilih hasil wawasan.
   + Pilih **Integrasi.** Pilih **Lihat temuan** untuk integrasi.

1. Di kotak **Tambahkan filter**, pilih satu atau beberapa file untuk difilter.

   Saat Anda memfilter berdasarkan **nama Perusahaan** atau **Nama Produk**, konsol menggunakan tingkat atas `CompanyName` dan `ProductName` bidang AWS Security Finding Format (ASFF). API menggunakan nilai yang bersarang di bawah`ProductFields`.

1. Pilih jenis kecocokan filter.

   Untuk filter string, Anda dapat memilih dari opsi berikut:
   + **is** — Temukan nilai yang sama persis dengan nilai filter.
   + **dimulai dengan** - Temukan nilai yang dimulai dengan nilai filter.
   + **is not** — Temukan nilai yang tidak cocok dengan nilai filter.
   + **tidak dimulai dengan** - Temukan nilai yang tidak dimulai dengan nilai filter.

   Untuk bidang **Tag sumber daya**, Anda dapat memfilter berdasarkan kunci atau nilai tertentu.

   Untuk filter numerik, Anda dapat memilih apakah akan memberikan nomor tunggal (**Sederhana**) atau rentang angka (**Rentang**).

   Untuk filter tanggal atau waktu, Anda dapat memilih apakah akan memberikan jangka waktu dari tanggal dan waktu saat ini (**Jendela bergulir**) atau rentang tanggal tertentu (**Rentang tetap**).

   Menambahkan beberapa filter memiliki interaksi berikut:
   + **adalah** dan **dimulai dengan** filter bergabung dengan OR. Nilai cocok jika berisi salah satu nilai filter. Misalnya, jika Anda menentukan **label Keparahan adalah KRITIS** dan **label Keparahan TINGGI**, hasilnya mencakup temuan tingkat keparahan kritis dan tinggi.
   + **tidak** dan **tidak dimulai dengan** filter bergabung dengan AND. Nilai hanya cocok jika tidak mengandung salah satu nilai filter tersebut. Misalnya, jika Anda menentukan **label Keparahan tidak RENDAH** dan **label Keparahan tidak SEDANG**, hasilnya tidak termasuk temuan tingkat keparahan rendah atau sedang.

   Jika Anda memiliki filter **is** di bidang, Anda tidak dapat memiliki **is not** atau **tidak dimulai dengan** filter pada bidang yang sama.

1. Tentukan nilai filter. Untuk filter string, nilai filter peka huruf besar/kecil.

1. Pilih **Terapkan**.

   Untuk filter yang ada, Anda dapat mengubah jenis atau nilai kecocokan filter. Pada daftar temuan yang difilter, pilih filter. Di kotak **Edit filter**, pilih jenis atau nilai kecocokan baru, lalu pilih **Terapkan**.

   Untuk menghapus filter, pilih ikon **x**. Daftar diperbarui secara otomatis untuk mencerminkan perubahan.

# Mengelompokkan temuan di Security Hub CSPM
<a name="finding-list-grouping"></a>

Anda dapat mengelompokkan temuan di CSPM AWS Security Hub berdasarkan nilai atribut yang dipilih.

Saat Anda mengelompokkan temuan, daftar temuan diganti dengan daftar nilai untuk atribut yang dipilih dalam temuan yang cocok. Untuk setiap nilai, daftar menampilkan jumlah temuan yang cocok.

Misalnya, jika Anda mengelompokkan temuan berdasarkan Akun AWS ID, Anda akan melihat daftar pengidentifikasi akun, dengan jumlah temuan yang cocok untuk setiap akun.

Security Hub CSPM dapat menampilkan hingga 100 nilai untuk atribut yang dipilih. Jika ada lebih dari 100 nilai, Anda hanya melihat 100 yang pertama.

Bila Anda memilih nilai atribut, Security Hub CSPM menampilkan daftar temuan yang cocok untuk nilai tersebut.

**Untuk mengelompokkan temuan dalam daftar temuan (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Untuk menampilkan daftar temuan, lakukan salah satu tindakan berikut dari panel navigasi:
   + Pilih **Temuan**.
   + Pilih **Wawasan**. Pilih wawasan. Kemudian, pada daftar hasil, pilih hasil wawasan.
   + Pilih **Integrasi.** Pilih **Lihat temuan** untuk integrasi.

1. Di Drop-down **Group by**, pilih atribut yang akan digunakan untuk pengelompokan.

   Untuk menghapus atribut pengelompokan, pilih ikon **x**. Saat Anda menghapus atribut pengelompokan, daftar berubah dari daftar nilai atribut ke daftar temuan.

# Menetapkan status alur kerja temuan di Security Hub CSPM
<a name="findings-workflow-status"></a>

Status alur kerja melacak kemajuan penyelidikan Anda ke dalam sebuah temuan. Status alur kerja spesifik untuk temuan individu dan tidak mempengaruhi generasi temuan baru. Misalnya, jika Anda mengubah status alur kerja temuan ke `SUPPRESSED` atau`RESOLVED`, perubahan Anda tidak mencegah CSPM Security Hub menghasilkan temuan baru untuk masalah yang sama.

Status alur kerja temuan dapat menjadi salah satu nilai berikut.

**BARU**  
Keadaan awal temuan sebelum Anda memeriksanya.  
Temuan yang dicerna dari terintegrasi Layanan AWS, seperti AWS Config, memiliki `NEW` status awal mereka.  
Security Hub CSPM juga mengatur ulang status alur kerja dari salah satu `NOTIFIED` atau `RESOLVED` ke `NEW` dalam kasus berikut:  
+ `RecordState`perubahan dari `ARCHIVED` ke`ACTIVE`.
+ `Compliance.Status`perubahan dari `PASSED` ke`FAILED`,`WARNING`, atau`NOT_AVAILABLE`.
Perubahan ini menyiratkan bahwa penyelidikan tambahan diperlukan.

**DIBERITAHUKAN**  
Menunjukkan bahwa Anda memberi tahu pemilik sumber daya tentang masalah keamanan. Anda dapat menggunakan status ini ketika Anda bukan pemilik sumber daya, dan Anda memerlukan intervensi dari pemilik sumber daya untuk menyelesaikan masalah keamanan.  
Jika salah satu hal berikut terjadi, status alur kerja diubah secara otomatis dari `NOTIFIED` menjadi`NEW`:  
+ `RecordState`perubahan dari `ARCHIVED` ke`ACTIVE`.
+ `Compliance.Status`perubahan dari `PASSED` ke`FAILED`,`WARNING`, atau`NOT_AVAILABLE`.

**DITEKAN**  
Menunjukkan bahwa Anda meninjau temuan dan tidak percaya bahwa tindakan apa pun diperlukan.  
Status alur kerja `SUPPRESSED` temuan tidak berubah jika `RecordState` berubah dari `ARCHIVED` ke`ACTIVE`.

**DISELESAIKAN**  
Temuan ini ditinjau dan diperbaiki dan sekarang dianggap telah diselesaikan.  
Temuan tetap ada `RESOLVED` kecuali salah satu dari berikut ini terjadi:  
+ `RecordState`perubahan dari `ARCHIVED` ke`ACTIVE`.
+ `Compliance.Status`perubahan dari `PASSED` ke`FAILED`,`WARNING`, atau`NOT_AVAILABLE`.
Dalam kasus tersebut, status alur kerja diatur ulang secara otomatis. `NEW`  
Untuk temuan dari kontrol, jika `Compliance.Status` ada`PASSED`, Security Hub CSPM secara otomatis menyetel status alur kerja ke. `RESOLVED`

## Mengatur status alur kerja temuan
<a name="setting-workflow-status"></a>

Untuk mengubah status alur kerja dari satu atau beberapa temuan, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API. Jika Anda mengubah status alur kerja temuan, perhatikan bahwa CSPM Security Hub dapat memakan waktu beberapa menit untuk memproses permintaan Anda dan memperbarui temuannya.

**Tip**  
Anda juga dapat mengubah status alur kerja temuan secara otomatis dengan menggunakan aturan otomatisasi. Dengan aturan otomatisasi, Anda mengonfigurasi CSPM Security Hub untuk memperbarui status alur kerja temuan secara otomatis berdasarkan kriteria yang Anda tentukan. Untuk informasi selengkapnya, lihat [Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Untuk mengubah status alur kerja dari satu atau beberapa temuan, pilih metode pilihan Anda dan ikuti langkah-langkahnya.

------
#### [ Security Hub CSPM console ]

**Untuk mengubah status alur kerja temuan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, lakukan salah satu hal berikut untuk menampilkan tabel temuan:
   + Pilih **Temuan**.
   + Pilih **Wawasan**. Kemudian pilih wawasan. Dalam hasil wawasan, pilih hasilnya.
   + Pilih **Integrasi.** Kemudian, di bagian untuk integrasi, pilih **Lihat temuan**.
   + Pilih **standar keamanan**. Kemudian, di bagian untuk standar, pilih **Lihat hasil**. Dalam tabel kontrol, pilih kontrol untuk menampilkan temuan untuk kontrol.

1. Dalam tabel temuan, pilih kotak centang untuk setiap temuan yang status alur kerjanya ingin Anda ubah.

1. Di bagian atas halaman, pilih **Status alur kerja, lalu pilih status** alur kerja baru untuk temuan yang dipilih.

1. Dalam kotak dialog **Setel status alur kerja**, secara opsional masukkan catatan yang merinci alasan untuk mengubah status alur kerja. Kemudian pilih **Tetapkan status**.

------
#### [ Security Hub CSPM API ]

Gunakan [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi. Berikan ID temuan dan ARN dari produk yang menghasilkan temuan. Anda bisa mendapatkan detail ini dengan menggunakan [GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)operasi.

------
#### [ AWS CLI ]

Jalankan perintah [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html). Berikan ID temuan dan ARN dari produk yang menghasilkan temuan. Anda bisa mendapatkan detail ini dengan menjalankan perintah [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html).

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**Contoh**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------

# Mengirim temuan ke tindakan CSPM Security Hub kustom
<a name="findings-custom-action"></a>

Anda dapat membuat tindakan kustom CSPM AWS Security Hub untuk mengotomatiskan Security Hub CSPM dengan Amazon. EventBridge Untuk tindakan kustom, jenis acara adalah **Security Hub Findings - Custom Action**. Setelah menyiapkan tindakan kustom, Anda dapat mengirim temuan ke sana. Untuk informasi selengkapnya dan langkah-langkah mendetail dalam membuat tindakan kustom, lihat[Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

**Untuk mengirim temuan ke tindakan kustom (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Untuk menampilkan daftar temuan, lakukan salah satu hal berikut:
   + **Di panel navigasi CSPM Security Hub, pilih Temuan.**
   + **Di panel navigasi CSPM Security Hub, pilih Wawasan.** Pilih wawasan. Kemudian pada daftar hasil, pilih hasil wawasan.
   + **Di panel navigasi CSPM Security Hub, pilih Integrasi.** Pilih **Lihat temuan** untuk integrasi.
   + **Di panel navigasi CSPM Security Hub, pilih Standar keamanan.** Pilih **Lihat hasil** untuk menampilkan daftar kontrol. Kemudian pilih nama kontrol.

1. Dalam daftar temuan, pilih kotak centang untuk setiap temuan untuk dikirim ke tindakan kustom.

   Anda dapat mengirim hingga 20 temuan sekaligus.

1. Untuk **Tindakan**, pilih tindakan kustom.

# AWS Format Pencarian Keamanan (ASFF)
<a name="securityhub-findings-format"></a>

AWS Security Hub CSPM mengkonsumsi dan mengumpulkan temuan dari produk terintegrasi Layanan AWS dan pihak ketiga. Security Hub CSPM memproses temuan ini menggunakan format temuan standar yang disebut *AWS Security Finding Format (ASFF)*, yang menghilangkan kebutuhan akan upaya konversi data yang memakan waktu.

Halaman ini memberikan garis besar lengkap JSON untuk temuan di AWS Security Finding Format (ASFF). Formatnya berasal dari Skema [JSON](https://json-schema.org/). Pilih nama objek tertaut untuk meninjau contoh temuan untuk objek itu. Membandingkan temuan CSPM Security Hub Anda dengan sumber daya dan contoh yang ditampilkan di sini dapat membantu Anda menafsirkan temuan Anda.

Untuk deskripsi atribut ASFF individu, lihat [Atribut ASFF tingkat atas yang diperlukan](asff-required-attributes.md) dan. [Atribut ASFF tingkat atas opsional](asff-top-level-attributes.md)

```
"Findings": [ 
    {
    	"Action": {
    		"ActionType": "string",
    		"AwsApiCallAction": {
    			"AffectedResources": {
    				"string": "string"
    			},
    			"Api": "string",
    			"CallerType": "string",
    			"DomainDetails": {
    				"Domain": "string"
    			},
    			"FirstSeen": "string",
    			"LastSeen": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"ServiceName": "string"
    		},
    		"DnsRequestAction": {
    			"Blocked": boolean,
    			"Domain": "string",
    			"Protocol": "string"
    		},
    		"NetworkConnectionAction": {
    			"Blocked": boolean,
    			"ConnectionDirection": "string",
    			"LocalPortDetails": {
    				"Port": number,
    				"PortName": "string"
    			},
    			"Protocol": "string",
    			"RemoteIpDetails": {
    				"City": {
    					"CityName": "string"
    				},
    				"Country": {
    					"CountryCode": "string",
    					"CountryName": "string"
    				},
    				"IpAddressV4": "string",
    				"Geolocation": {
    					"Lat": number,
    					"Lon": number
    				},
    				"Organization": {
    					"Asn": number,
    					"AsnOrg": "string",
    					"Isp": "string",
    					"Org": "string"
    				}
    			},
    			"RemotePortDetails": {
    				"Port": number,
    				"PortName": "string"
    			}
    		},
    		"PortProbeAction": {
    			"Blocked": boolean,
    			"PortProbeDetails": [{
    				"LocalIpDetails": {
    					"IpAddressV4": "string"
    				},
    				"LocalPortDetails": {
    					"Port": number,
    					"PortName": "string"
    				},
    				"RemoteIpDetails": {
    					"City": {
    						"CityName": "string"
    					},
    					"Country": {
    						"CountryCode": "string",
    						"CountryName": "string"
    					},
    					"GeoLocation": {
    						"Lat": number,
    						"Lon": number
    					},
    					"IpAddressV4": "string",
    					"Organization": {
    						"Asn": number,
    						"AsnOrg": "string",
    						"Isp": "string",
    						"Org": "string"
    					}
    				}
    			}]
    		}
    	},
    	"AwsAccountId": "string",
    	"AwsAccountName": "string",
    	"CompanyName": "string",
    	"Compliance": {
    		"AssociatedStandards": [{
    			"StandardsId": "string"
    		}],
    		"RelatedRequirements": ["string"],
    		"SecurityControlId": "string",
    		"SecurityControlParameters": [
    			{
    				"Name": "string",
    				"Value": ["string"]
    			}
   		],
    		"Status": "string",
    		"StatusReasons": [
    			{
    				"Description": "string",
    				"ReasonCode": "string"
    			}
    		]
    	},
    	"Confidence": number,
    	"CreatedAt": "string",
    	"Criticality": number,
    	"Description": "string",
    	"Detection": {
    		"Sequence": {
    			"Uid": "string",
    			"Actors": [{
    				"Id": "string",
    				"Session": {
    					"Uid": "string",
    					"MfAStatus": "string",
    					"CreatedTime": "string",
    					"Issuer": "string"
    				},
    				"User": {
    					"CredentialUid": "string",
    					"Name": "string",
    					"Type": "string",
    					"Uid": "string",
    					"Account": {
    						"Uid": "string",
    						"Name": "string"
    					}
    				}
    			}],
    			"Endpoints": [{
    				"Id": "string",
    				"Ip": "string",
    				"Domain": "string",
    				"Port": number,
    				"Location": {
    					"City": "string",
    					"Country": "string",
    					"Lat": number,
    					"Lon": number
    				},
    				"AutonomousSystem": {
    					"Name": "string",
    					"Number": number
    				},
    				"Connection": {
    					"Direction": "string"
    				}
    			}],
    			"Signals": [{
    				"Id": "string",
    				"Title": "string",
    				"ActorIds": ["string"],
    				"Count": number,
    				"FirstSeenAt": number,
    				"SignalIndicators": [
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					},
    					{
    						"Key": "string",
    						"Title": "string",
    						"Values": ["string"]
    					}
    				],
    				"LastSeenAt": number,
    				"Name": "string",
    				"ResourceIds": ["string"],
    				"Type": "string"
    			}],
    			"SequenceIndicators": [
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				},
    				{
    					"Key": "string",
    					"Title": "string",
    					"Values": ["string"]
    				}
    			]
    		}
    	},
    	"FindingProviderFields": {
    		"Confidence": number,
    		"Criticality": number,
    		"RelatedFindings": [{
    			"ProductArn": "string",
    			"Id": "string"
    		}],
    		"Severity": {
    			"Label": "string",
    			"Normalized": number,
    			"Original": "string"
    		},
    		"Types": ["string"]
    	},
    	"FirstObservedAt": "string",
    	"GeneratorId": "string",
    	"Id": "string",
    	"LastObservedAt": "string",
    	"Malware": [{
    		"Name": "string",
    		"Path": "string",
    		"State": "string",
    		"Type": "string"
    	}],
    	"Network": {
    		"DestinationDomain": "string",
    		"DestinationIpV4": "string",
    		"DestinationIpV6": "string",
    		"DestinationPort": number,
    		"Direction": "string",
    		"OpenPortRange": {
    			"Begin": integer,
    			"End": integer
    		},
    		"Protocol": "string",
    		"SourceDomain": "string",
    		"SourceIpV4": "string",
    		"SourceIpV6": "string",
    		"SourceMac": "string",
    		"SourcePort": number
    	},
    	"NetworkPath": [{
    		"ComponentId": "string",
    		"ComponentType": "string",
    		"Egress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		},
    		"Ingress": {
    			"Destination": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			},
    			"Protocol": "string",
    			"Source": {
    				"Address": ["string"],
    				"PortRanges": [{
    					"Begin": integer,
    					"End": integer
    				}]
    			}
    		}
    	}],
    	"Note": {
    		"Text": "string",
    		"UpdatedAt": "string",
    		"UpdatedBy": "string"
    	},
    	"PatchSummary": {
    		"FailedCount": number,
    		"Id": "string",
    		"InstalledCount": number,
    		"InstalledOtherCount": number,
    		"InstalledPendingReboot": number,
    		"InstalledRejectedCount": number,
    		"MissingCount": number,
    		"Operation": "string",
    		"OperationEndTime": "string",
    		"OperationStartTime": "string",
    		"RebootOption": "string"
    	},
    	"Process": {
    		"LaunchedAt": "string",
    		"Name": "string",
    		"ParentPid": number,
    		"Path": "string",
    		"Pid": number,
    		"TerminatedAt": "string"
    	},
    	"ProductArn": "string",
    	"ProductFields": {
    		"string": "string"
    	},
    	"ProductName": "string",
    	"RecordState": "string",
    	"Region": "string",
    	"RelatedFindings": [{
    		"Id": "string",
    		"ProductArn": "string"
    	}],
    	"Remediation": {
    		"Recommendation": {
    			"Text": "string",
    			"Url": "string"
    		}
    	},
    	"Resources": [{
    		"ApplicationArn": "string",
    		"ApplicationName": "string",
    		"DataClassification": {
    			"DetailedResultsLocation": "string",
    			"Result": {
    				"AdditionalOccurrences": boolean,
    				"CustomDataIdentifiers": {
    					"Detections": [{
    						"Arn": "string",
    						"Count": integer,
    						"Name": "string",
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						}
    					}],
    					"TotalCount": integer
    				},
    				"MimeType": "string",
    				"SensitiveData": [{
    					"Category": "string",
    					"Detections": [{
    						"Count": integer,
    						"Occurrences": {
    							"Cells": [{
    								"CellReference": "string",
    								"Column": integer,
    								"ColumnName": "string",
    								"Row": integer
    							}],
    							"LineRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"OffsetRanges": [{
    								"End": integer,
    								"Start": integer,
    								"StartColumn": integer
    							}],
    							"Pages": [{
    								"LineRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"OffsetRange": {
    									"End": integer,
    									"Start": integer,
    									"StartColumn": integer
    								},
    								"PageNumber": integer
    							}],
    							"Records": [{
    								"JsonPath": "string",
    								"RecordIndex": integer
    							}]
    						},
    						"Type": "string"
    					}],
    					"TotalCount": integer
    				}],
    				"SizeClassified": integer,
    				"Status": {
    					"Code": "string",
    					"Reason": "string"
    				}
    			}
    		},
    		"Details": {
    			"AwsAmazonMQBroker": {
    				"AutoMinorVersionUpgrade": boolean,
    				"BrokerArn": "string",
    				"BrokerId": "string",
    				"BrokerName": "string",
    				"Configuration": {
    					"Id": "string",
    					"Revision": integer
    				},
    				"DeploymentMode": "string",
    				"EncryptionOptions": {
    					"UseAwsOwnedKey": boolean
    				},
    				"EngineType": "string",
    				"EngineVersion": "string",
    				"HostInstanceType": "string",
    				"Logs": {
    					"Audit": boolean,
    					"AuditLogGroup": "string",
    					"General": boolean,
    					"GeneralLogGroup": "string"
    				},
    				"MaintenanceWindowStartTime": {
    					"DayOfWeek": "string",
    					"TimeOfDay": "string",
    					"TimeZone": "string"
    				},
    				"PubliclyAccessible": boolean,
    				"SecurityGroups": [
    					"string"
    				],
    				"StorageType": "string",
    				"SubnetIds": [
    					"string",
    					"string"
    				],
    				"Users": [{
    					"Username": "string"
    				}]
    			},
    			"AwsApiGatewayRestApi": {
    				"ApiKeySource": "string",
    				"BinaryMediaTypes": [" string"],
    				"CreatedDate": "string",
    				"Description": "string",
    				"EndpointConfiguration": {
    					"Types": ["string"]
    				},
    				"Id": "string",
    				"MinimumCompressionSize": number,
    				"Name": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayStage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"CacheClusterEnabled": boolean,
    				"CacheClusterSize": "string",
    				"CacheClusterStatus": "string",
    				"CanarySettings": {
    					"DeploymentId": "string",
    					"PercentTraffic": number,
    					"StageVariableOverrides": [{
    						"string": "string"
    					}],
    					"UseStageCache": boolean
    				},
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DeploymentId": "string",
    				"Description": "string",
    				"DocumentationVersion": "string",
    				"LastUpdatedDate": "string",
    				"MethodSettings": [{
    					"CacheDataEncrypted": boolean,
    					"CachingEnabled": boolean,
    					"CacheTtlInSeconds": number,
    					"DataTraceEnabled": boolean,
    					"HttpMethod": "string",
    					"LoggingLevel": "string",
    					"MetricsEnabled": boolean,
    					"RequireAuthorizationForCacheControl": boolean,
    					"ResourcePath": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number,
    					"UnauthorizedCacheControlHeaderStrategy": "string"
    				}],
    				"StageName": "string",
    				"TracingEnabled": boolean,
    				"Variables": {
    					"string": "string"
    				},
    				"WebAclArn": "string"
    			},
    			"AwsApiGatewayV2Api": {
    				"ApiEndpoint": "string",
    				"ApiId": "string",
    				"ApiKeySelectionExpression": "string",
    				"CorsConfiguration": {
    					"AllowCredentials": boolean,
    					"AllowHeaders": ["string"],
    					"AllowMethods": ["string"],
    					"AllowOrigins": ["string"],
    					"ExposeHeaders": ["string"],
    					"MaxAge": number
    				},
    				"CreatedDate": "string",
    				"Description": "string",
    				"Name": "string",
    				"ProtocolType": "string",
    				"RouteSelectionExpression": "string",
    				"Version": "string"
    			},
    			"AwsApiGatewayV2Stage": {
    				"AccessLogSettings": {
    					"DestinationArn": "string",
    					"Format": "string"
    				},
    				"ApiGatewayManaged": boolean,
    				"AutoDeploy": boolean,
    				"ClientCertificateId": "string",
    				"CreatedDate": "string",
    				"DefaultRouteSettings": {
    					"DataTraceEnabled": boolean,
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"DeploymentId": "string",
    				"Description": "string",
    				"LastDeploymentStatusMessage": "string",
    				"LastUpdatedDate": "string",
    				"RouteSettings": {
    					"DetailedMetricsEnabled": boolean,
    					"LoggingLevel": "string",
    					"DataTraceEnabled": boolean,
    					"ThrottlingBurstLimit": number,
    					"ThrottlingRateLimit": number
    				},
    				"StageName": "string",
    				"StageVariables": [{
    					"string": "string"
    				}]
    			},
    			"AwsAppSyncGraphQLApi": {
    				"AwsAppSyncGraphQlApi": {
    					"AdditionalAuthenticationProviders": [
    					{
    						"AuthenticationType": "string",
    						"LambdaAuthorizerConfig": {
    							"AuthorizerResultTtlInSeconds": integer,
    							"AuthorizerUri": "string"
    						}
    					},
    					{
    						"AuthenticationType": "string"
    					}
    					],
    					"ApiId": "string",
    					"Arn": "string",
    					"AuthenticationType": "string",
    					"Id": "string",
    					"LogConfig": {
    						"CloudWatchLogsRoleArn": "string",
    						"ExcludeVerboseContent": boolean,
    						"FieldLogLevel": "string"
    					},
    					"Name": "string",
    					"XrayEnabled": boolean
    				}
    			},
    			"AwsAthenaWorkGroup": {
    				"Description": "string",
    				"Name": "string",
    				"WorkgroupConfiguration": {
    					"ResultConfiguration": {
    						"EncryptionConfiguration": {
    							"EncryptionOption": "string",
    							"KmsKey": "string"
    						}
    					}
    				},
    				"State": "string"
    			},
    			"AwsAutoScalingAutoScalingGroup": {
    				"AvailabilityZones": [{
    					"Value": "string"
    				}],
    				"CreatedTime": "string",
    				"HealthCheckGracePeriod": integer,
    				"HealthCheckType": "string",
    				"LaunchConfigurationName": "string",
    				"LoadBalancerNames": ["string"],
    				"LaunchTemplate": {                            
                        "LaunchTemplateId": "string",
                        "LaunchTemplateName": "string",
                        "Version": "string"
                    },
    				"MixedInstancesPolicy": {
    					"InstancesDistribution": {
    						"OnDemandAllocationStrategy": "string",
    						"OnDemandBaseCapacity": number,
    						"OnDemandPercentageAboveBaseCapacity": number,
    						"SpotAllocationStrategy": "string",
    						"SpotInstancePools": number,
    						"SpotMaxPrice": "string"
    					},
    					"LaunchTemplate": {
    						"LaunchTemplateSpecification": {
    							"LaunchTemplateId": "string",
    							"LaunchTemplateName": "string",
    							"Version": "string"
    						},
    						"CapacityRebalance": boolean,
    						"Overrides": [{
    							"InstanceType": "string",
    							"WeightedCapacity": "string"
    						}]
    					}
    				}
    			},
    			"AwsAutoScalingLaunchConfiguration": {
    				"AssociatePublicIpAddress": boolean,
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteOnTermination": boolean,
    						"Encrypted": boolean,
    						"Iops": number,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					},
    					"NoDevice": boolean,
    					"VirtualName": "string"
    				}],
    				"ClassicLinkVpcId": "string",
    				"ClassicLinkVpcSecurityGroups": ["string"],
    				"CreatedTime": "string",
    				"EbsOptimized": boolean,
    				"IamInstanceProfile": "string"
    			},
    			"ImageId": "string",
    			"InstanceMonitoring": {
    				"Enabled": boolean
    			},
    			"InstanceType": "string",
    			"KernelId": "string",
    			"KeyName": "string",
    			"LaunchConfigurationName": "string",
    			"MetadataOptions": {
    				"HttpEndPoint": "string",
    				"HttpPutReponseHopLimit": number,
    				"HttpTokens": "string"
    			},
    			"PlacementTenancy": "string",
    			"RamdiskId": "string",
    			"SecurityGroups": ["string"],
    			"SpotPrice": "string",
    			"UserData": "string"
    		},
    		"AwsBackupBackupPlan": {
    			"BackupPlan": {
    				"AdvancedBackupSettings": [{
    					"BackupOptions": {
    						"WindowsVSS":"string"
    					},
    					"ResourceType":"string"
    				}],
    				"BackupPlanName": "string",
    				"BackupPlanRule": [{
    					"CompletionWindowMinutes": integer,
    					"CopyActions": [{
    						"DestinationBackupVaultArn": "string",
    						"Lifecycle": {
    							"DeleteAfterDays": integer,
    							"MoveToColdStorageAfterDays": integer
    						}
    					}],
    					"Lifecycle": {
    						"DeleteAfterDays": integer
    					},
    					"RuleName": "string",
    					"ScheduleExpression": "string",
    					"StartWindowMinutes": integer,
    					"TargetBackupVault": "string"
    				}]
    			},
    			"BackupPlanArn": "string",
    			"BackupPlanId": "string",
    			"VersionId": "string"
    	},
    		"AwsBackupBackupVault": {
    			"AccessPolicy": {
    				"Statement": [{
    					"Action": ["string"],
    					"Effect": "string",
    					"Principal": {
    						"AWS": "string"
    					},
    					"Resource": "string"
    				}],
    				"Version": "string"
    			},
    			"BackupVaultArn": "string",
    			"BackupVaultName": "string",
    			"EncryptionKeyArn": "string",
    			"Notifications": {
    				"BackupVaultEvents": ["string"],
    				"SNSTopicArn": "string"
    			}
    		},
    		"AwsBackupRecoveryPoint": {
    			"BackupSizeInBytes": integer,
    			"BackupVaultName": "string",
    			"BackupVaultArn": "string",
    			"CalculatedLifecycle": {
    				"DeleteAt": "string",
    				"MoveToColdStorageAt": "string"
    			},
    			"CompletionDate": "string",
    			"CreatedBy": {
    				"BackupPlanArn": "string",
    				"BackupPlanId": "string",
    				"BackupPlanVersion": "string",
    				"BackupRuleId": "string"
    			},
    			"CreationDate": "string",
    			"EncryptionKeyArn": "string",
    			"IamRoleArn": "string",
    			"IsEncrypted": boolean,
    			"LastRestoreTime": "string",
    			"Lifecycle": {
    				"DeleteAfterDays": integer,
    				"MoveToColdStorageAfterDays": integer
    			},
    			"RecoveryPointArn": "string",
    			"ResourceArn": "string",
    			"ResourceType": "string",
    			"SourceBackupVaultArn": "string",
    			"Status": "string",
    			"StatusMessage": "string",
    			"StorageClass": "string"
    		},
    		"AwsCertificateManagerCertificate": {
    			"CertificateAuthorityArn": "string",
    			"CreatedAt": "string",
    			"DomainName": "string",
    			"DomainValidationOptions": [{
    				"DomainName": "string",
    				"ResourceRecord": {
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				},
    				"ValidationDomain": "string",
    				"ValidationEmails": ["string"],
    				"ValidationMethod": "string",
    				"ValidationStatus": "string"
    			}],
    			"ExtendedKeyUsages": [{
    				"Name": "string",
    				"OId": "string"
    			}],
    			"FailureReason": "string",
    			"ImportedAt": "string",
    			"InUseBy": ["string"],
    			"IssuedAt": "string",
    			"Issuer": "string",
    			"KeyAlgorithm": "string",
    			"KeyUsages": [{
    				"Name": "string"
    			}],
    			"NotAfter": "string",
    			"NotBefore": "string",
    			"Options": {
    				"CertificateTransparencyLoggingPreference": "string"
    			},
    			"RenewalEligibility": "string",
    			"RenewalSummary": {
    				"DomainValidationOptions": [{
    					"DomainName": "string",
    					"ResourceRecord": {
    						"Name": "string",
    						"Type": "string",
    						"Value": "string"
    					},
    					"ValidationDomain": "string",
    					"ValidationEmails": ["string"],
    					"ValidationMethod": "string",
    					"ValidationStatus": "string"
    				}],
    				"RenewalStatus": "string",
    				"RenewalStatusReason": "string",
    				"UpdatedAt": "string"
    			},
    			"Serial": "string",
    			"SignatureAlgorithm": "string",
    			"Status": "string",
    			"Subject": "string",
    			"SubjectAlternativeNames": ["string"],
    			"Type": "string"
    		},
    		"AwsCloudFormationStack": {
    			"Capabilities": ["string"],
    			"CreationTime": "string",
    			"Description": "string",
    			"DisableRollback": boolean,
    			"DriftInformation": {
    				"StackDriftStatus": "string"
    			},
    			"EnableTerminationProtection": boolean,
    			"LastUpdatedTime": "string",
    			"NotificationArns": ["string"],
    			"Outputs": [{
    				"Description": "string",
    				"OutputKey": "string",
    				"OutputValue": "string"
    			}],
    			"RoleArn": "string",
    			"StackId": "string",
    			"StackName": "string",
    			"StackStatus": "string",
    			"StackStatusReason": "string",
    			"TimeoutInMinutes": number 
    		},
    		"AwsCloudFrontDistribution": {
    			"CacheBehaviors": {
    				"Items": [{
    					"ViewerProtocolPolicy": "string"
    				}]
    			},
    			"DefaultCacheBehavior": {
    				"ViewerProtocolPolicy": "string"
    			},
    			"DefaultRootObject": "string",
    			"DomainName": "string",
    			"Etag": "string",
    			"LastModifiedTime": "string",
    			"Logging": {
    				"Bucket": "string",
    				"Enabled": boolean,
    				"IncludeCookies": boolean,
    				"Prefix": "string"
    			},
    			"OriginGroups": {
    				"Items": [{
    					"FailoverCriteria": {
    						"StatusCodes": {
    							"Items": [number],
    							"Quantity": number
    						}
    					}
    				}]
    			},
    			"Origins": {
    				"Items": [{
    					"CustomOriginConfig": {
    						"HttpPort": number,
    						"HttpsPort": number,
    						"OriginKeepaliveTimeout": number,
    						"OriginProtocolPolicy": "string",
    						"OriginReadTimeout": number,
    						"OriginSslProtocols": {
    							"Items": ["string"],
    							"Quantity": number
    						} 
    					},		
    					"DomainName": "string",
    					"Id": "string",
    					"OriginPath": "string",
    					"S3OriginConfig": {
    						"OriginAccessIdentity": "string"
    					}
    				}]
    			},
    			"Status": "string",
    			"ViewerCertificate": {
    				"AcmCertificateArn": "string",
    				"Certificate": "string",
    				"CertificateSource": "string",
    				"CloudFrontDefaultCertificate": boolean,
    				"IamCertificateId": "string",
    				"MinimumProtocolVersion": "string",
    				"SslSupportMethod": "string"
    			},
    			"WebAclId": "string"
    		},
    		"AwsCloudTrailTrail": {
    			"CloudWatchLogsLogGroupArn": "string",
    			"CloudWatchLogsRoleArn": "string",
    			"HasCustomEventSelectors": boolean,
    			"HomeRegion": "string",
    			"IncludeGlobalServiceEvents": boolean,
    			"IsMultiRegionTrail": boolean,
    			"IsOrganizationTrail": boolean,
    			"KmsKeyId": "string",
    			"LogFileValidationEnabled": boolean,
    			"Name": "string",
    			"S3BucketName": "string",
    			"S3KeyPrefix": "string",
    			"SnsTopicArn": "string",
    			"SnsTopicName": "string",
    			"TrailArn": "string"
    		},
    		"AwsCloudWatchAlarm": {
    			"ActionsEnabled": boolean,
    			"AlarmActions": ["string"],
    			"AlarmArn": "string",
    			"AlarmConfigurationUpdatedTimestamp": "string",
    			"AlarmDescription": "string",
    			"AlarmName": "string",
    			"ComparisonOperator": "string",
    			"DatapointsToAlarm": number,
    			"Dimensions": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"EvaluateLowSampleCountPercentile": "string",
    			"EvaluationPeriods": number,
    			"ExtendedStatistic": "string",
    			"InsufficientDataActions": ["string"],
    			"MetricName": "string",
    			"Namespace": "string",
    			"OkActions": ["string"],
    			"Period": number,
    			"Statistic": "string",
    			"Threshold": number,
    			"ThresholdMetricId": "string",
    			"TreatMissingData": "string",
    			"Unit": "string"
    		},
    		"AwsCodeBuildProject": {
    			"Artifacts": [{
    				"ArtifactIdentifier": "string",
    				"EncryptionDisabled": boolean,
    				"Location": "string",
    				"Name": "string",
    				"NamespaceType": "string",
    				"OverrideArtifactName": boolean,
    				"Packaging": "string",
    				"Path": "string",
    				"Type": "string"
    			}],
    			"SecondaryArtifacts": [{
                    "ArtifactIdentifier": "string",
                    "Type": "string",
                    "Location": "string",
                    "Name": "string",
                    "NamespaceType": "string",
                    "Packaging": "string",
                    "Path": "string",
                    "EncryptionDisabled": boolean,
                    "OverrideArtifactName": boolean
                }],
    			"EncryptionKey": "string",
    			"Certificate": "string",
    			"Environment": {
    				"Certificate": "string",
    				"EnvironmentVariables": [{
    					"Name": "string",
    					"Type": "string",
    					"Value": "string"
    				}],
    				"ImagePullCredentialsType": "string",
    				"PrivilegedMode": boolean,
    				"RegistryCredential": {
    					"Credential": "string",
    					"CredentialProvider": "string"
    				},
    				"Type": "string"
    			},
    			"LogsConfig": {
    				"CloudWatchLogs": {
    					"GroupName": "string",
    					"Status": "string",
    					"StreamName": "string"
    				},
    				"S3Logs": {
    					"EncryptionDisabled": boolean,
    					"Location": "string",
    					"Status": "string"
    				}
    			},
    			"Name": "string",
    			"ServiceRole": "string",
    			"Source": {
    				"Type": "string",
    				"Location": "string",
    				"GitCloneDepth": integer
    			},
    			"VpcConfig": {
    				"VpcId": "string",
    				"Subnets": ["string"],
    				"SecurityGroupIds": ["string"]
    			}
    		},
    		"AwsDmsEndpoint": {
    			"CertificateArn": "string",
    			"DatabaseName": "string",
    			"EndpointArn": "string",
    			"EndpointIdentifier": "string",
    			"EndpointType": "string", 
    			"EngineName": "string",
    			"KmsKeyId": "string",
    			"Port": integer,
    			"ServerName": "string",
    			"SslMode": "string",
    			"Username": "string"
    		},
    		"AwsDmsReplicationInstance": {
    			"AllocatedStorage": integer,
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"EngineVersion": "string",
    			"KmsKeyId": "string",
    			"MultiAZ": boolean,
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ReplicationInstanceClass": "string",
    			"ReplicationInstanceIdentifier": "string",
    			"ReplicationSubnetGroup": {
        			"ReplicationSubnetGroupIdentifier": "string"
    			},
    			"VpcSecurityGroups": [
        			{
            			"VpcSecurityGroupId": "string"
        			}
    			]
    		},
    		"AwsDmsReplicationTask": {
    			"CdcStartPosition": "string",
    			"Id": "string",
    			"MigrationType": "string",
    			"ReplicationInstanceArn": "string",
    			"ReplicationTaskIdentifier": "string",
    			"ReplicationTaskSettings": {
    				"string": "string"
    			},
    			"SourceEndpointArn": "string",
    			"TableMappings": {
    				"string": "string"
    			},
    			"TargetEndpointArn": "string"
    		},
    		"AwsDynamoDbTable": {
    			"AttributeDefinitions": [{
    				"AttributeName": "string",
    				"AttributeType": "string"
    			}],
    			"BillingModeSummary": {
    				"BillingMode": "string",
    				"LastUpdateToPayPerRequestDateTime": "string"
    			},
    			"CreationDateTime": "string",
    			"DeletionProtectionEnabled": boolean,
    			"GlobalSecondaryIndexes": [{
    				"Backfilling": boolean,
    				"IndexArn": "string",
    				"IndexName": "string",
    				"IndexSizeBytes": number,
    				"IndexStatus": "string",
    				"ItemCount": number,
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				},
    				"ProvisionedThroughput": {
    					"LastDecreaseDateTime": "string",
    					"LastIncreaseDateTime": "string",
    					"NumberOfDecreasesToday": number,
    					"ReadCapacityUnits": number,
    					"WriteCapacityUnits": number
    				}
    			}],
    			"GlobalTableVersion": "string",
    			"ItemCount": number,
    			"KeySchema": [{
    				"AttributeName": "string",
    				"KeyType": "string"
    			}],
    			"LatestStreamArn": "string",
    			"LatestStreamLabel": "string",
    			"LocalSecondaryIndexes": [{
    				"IndexArn": "string",
    				"IndexName": "string",
    				"KeySchema": [{
    					"AttributeName": "string",
    					"KeyType": "string"
    				}],
    				"Projection": {
    					"NonKeyAttributes": ["string"],
    					"ProjectionType": "string"
    				}
    			}],
    			"ProvisionedThroughput": {
    				"LastDecreaseDateTime": "string",
    				"LastIncreaseDateTime": "string",
    				"NumberOfDecreasesToday": number,
    				"ReadCapacityUnits": number,
    				"WriteCapacityUnits": number
    			},
    			"Replicas": [{
    				"GlobalSecondaryIndexes": [{
    					"IndexName": "string",
    					"ProvisionedThroughputOverride": {
    						"ReadCapacityUnits": number
    					}
    				}],
    				"KmsMasterKeyId": "string",
    				"ProvisionedThroughputOverride": {
    					"ReadCapacityUnits": number
    				},
    				"RegionName": "string",
    				"ReplicaStatus": "string",
    				"ReplicaStatusDescription": "string"
    			}],
    			"RestoreSummary": {
    				"RestoreDateTime": "string",
    				"RestoreInProgress": boolean,
    				"SourceBackupArn": "string",
    				"SourceTableArn": "string"
    			},
    			"SseDescription": {
    				"InaccessibleEncryptionDateTime": "string",
    				"KmsMasterKeyArn": "string",
    				"SseType": "string",
    				"Status": "string"
    			},
    			"StreamSpecification": {
    				"StreamEnabled": boolean,
    				"StreamViewType": "string"
    			},
    			"TableId": "string",
    			"TableName": "string",
    			"TableSizeBytes": number,
    			"TableStatus": "string"
    		},
    		"AwsEc2ClientVpnEndpoint": {
    			"AuthenticationOptions": [
    				{
    					"MutualAuthentication": {
    						"ClientRootCertificateChainArn": "string"
    					},
    					"Type": "string"
    				}
    			],
    			"ClientCidrBlock": "string",
    			"ClientConnectOptions": {
    				"Enabled": boolean
    			},
    			"ClientLoginBannerOptions": {
    				"Enabled": boolean
    			},
    			"ClientVpnEndpointId": "string",
    			"ConnectionLogOptions": {
    				"Enabled": boolean
    			},
    			"Description": "string",
    			"DnsServer": ["string"],
    			"ServerCertificateArn": "string",
    			"SecurityGroupIdSet": [
    				"string"
    			],
    			"SelfServicePortalUrl": "string",
    			"SessionTimeoutHours": "integer",
    			"SplitTunnel": boolean,
    			"TransportProtocol": "string",
    			"VpcId": "string",
    			"VpnPort": integer
    		},
    		"AwsEc2Eip": {
    			"AllocationId": "string",
    			"AssociationId": "string",
    			"Domain": "string",
    			"InstanceId": "string",
    			"NetworkBorderGroup": "string",
    			"NetworkInterfaceId": "string",
    			"NetworkInterfaceOwnerId": "string",
    			"PrivateIpAddress": "string",
    			"PublicIp": "string",
    			"PublicIpv4Pool": "string"
    		},
    		"AwsEc2Instance": {
    			"IamInstanceProfileArn": "string",
    			"ImageId": "string",
    			"IpV4Addresses": ["string"],
    			"IpV6Addresses": ["string"],
    			"KeyName": "string",
    			"LaunchedAt": "string",
    			"MetadataOptions": {
    				"HttpEndpoint": "string",
    				"HttpProtocolIpv6": "string",
    				"HttpPutResponseHopLimit": number,
    				"HttpTokens": "string",
    				"InstanceMetadataTags": "string"
    			},
    			"Monitoring": {
    				"State": "string"
    			},
    			"NetworkInterfaces": [{                
    				"NetworkInterfaceId": "string"
    			}],
    			"SubnetId": "string",
    			"Type": "string",    			
    			"VirtualizationType": "string",
    			"VpcId": "string"
    		},   
    		"AwsEc2LaunchTemplate": {
    			"DefaultVersionNumber": "string",
    			"ElasticGpuSpecifications": ["string"],
    			"ElasticInferenceAccelerators": ["string"],
    			"Id": "string",
    			"ImageId": "string",
    			"LatestVersionNumber": "string",
    			"LaunchTemplateData": {
    				"BlockDeviceMappings": [{
    					"DeviceName": "string",
    					"Ebs": {
    						"DeleteonTermination": boolean,
    						"Encrypted": boolean,
    						"SnapshotId": "string",
    						"VolumeSize": number,
    						"VolumeType": "string"
    					}
    				}],
    				"MetadataOptions": {
    					"HttpTokens": "string",
    					"HttpPutResponseHopLimit" : number
    				},
    				"Monitoring": {
    					"Enabled": boolean
    				},
    				"NetworkInterfaces": [{
    					"AssociatePublicIpAddress" : boolean
    				}]
    			},
    			"LaunchTemplateName": "string",
    			"LicenseSpecifications": ["string"],
    			"SecurityGroupIds": ["string"],
    			"SecurityGroups": ["string"],
    			"TagSpecifications": ["string"]
    		},
    		"AwsEc2NetworkAcl": {
    			"Associations": [{
    				"NetworkAclAssociationId": "string",
    				"NetworkAclId": "string",
    				"SubnetId": "string"
    			}],
    			"Entries": [{
    				"CidrBlock": "string",
    				"Egress": boolean,
    				"IcmpTypeCode": {
    					"Code": number,
    					"Type": number
    				},
    				"Ipv6CidrBlock": "string",
    				"PortRange": {
    					"From": number,
    					"To": number
    				},
    				"Protocol": "string",
    				"RuleAction": "string",
    				"RuleNumber": number
    			}],
    			"IsDefault": boolean,
    			"NetworkAclId": "string",
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2NetworkInterface": {
    			"Attachment": {
    				"AttachmentId": "string",
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"DeviceIndex": number,
    				"InstanceId": "string",
    				"InstanceOwnerId": "string",
    				"Status": "string"
    			},
    			"Ipv6Addresses": [{
    				"Ipv6Address": "string"
    			}],
    			"NetworkInterfaceId": "string",
    			"PrivateIpAddresses": [{
    				"PrivateDnsName": "string",
    				"PrivateIpAddress": "string"
    			}],
    			"PublicDnsName": "string",
    			"PublicIp": "string",
    			"SecurityGroups": [{
    				"GroupId": "string",
    				"GroupName": "string"
    			}],
    			"SourceDestCheck": boolean
    		},
    		"AwsEc2RouteTable": {
    			"AssociationSet": [{
    				"AssociationState": {
    					"State": "string"
    				},
    				"Main": boolean,
    				"RouteTableAssociationId": "string",
    				"RouteTableId": "string"
    			}],
    			"PropogatingVgwSet": [],
    			"RouteTableId": "string",
    			"RouteSet": [
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				},
    				{
    					"DestinationCidrBlock": "string",
    					"GatewayId": "string",
    					"Origin": "string",
    					"State": "string"
    				}
    			],
    			"VpcId": "string"
    		},
    		"AwsEc2SecurityGroup": {
    			"GroupId": "string",
    			"GroupName": "string",
    			"IpPermissions": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"IpPermissionsEgress": [{
    				"FromPort": number,
    				"IpProtocol": "string",
    				"IpRanges": [{
    					"CidrIp": "string"
    				}],
    				"Ipv6Ranges": [{
    					"CidrIpv6": "string"
    				}],
    				"PrefixListIds": [{
    					"PrefixListId": "string"
    				}],
    				"ToPort": number,
    				"UserIdGroupPairs": [{
    					"GroupId": "string",
    					"GroupName": "string",
    					"PeeringStatus": "string",
    					"UserId": "string",
    					"VpcId": "string",
    					"VpcPeeringConnectionId": "string"
    				}]
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2Subnet": {
    			"AssignIpv6AddressOnCreation": boolean,
    			"AvailabilityZone": "string",
    			"AvailabilityZoneId": "string",
    			"AvailableIpAddressCount": number,
    			"CidrBlock": "string",
    			"DefaultForAz": boolean,
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"Ipv6CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"MapPublicIpOnLaunch": boolean,
    			"OwnerId": "string",
    			"State": "string",
    			"SubnetArn": "string",
    			"SubnetId": "string",
    			"VpcId": "string"
    		},
    		"AwsEc2TransitGateway": {
    			"AmazonSideAsn": number,
    			"AssociationDefaultRouteTableId": "string",
    			"AutoAcceptSharedAttachments": "string",
    			"DefaultRouteTableAssociation": "string",
    			"DefaultRouteTablePropagation": "string",
    			"Description": "string",
    			"DnsSupport": "string",
    			"Id": "string",
    			"MulticastSupport": "string",
    			"PropagationDefaultRouteTableId": "string",
    			"TransitGatewayCidrBlocks": ["string"],
    			"VpnEcmpSupport": "string"
    		},
    		"AwsEc2Volume": {
    			"Attachments": [{
    				"AttachTime": "string",
    				"DeleteOnTermination": boolean,
    				"InstanceId": "string",
    				"Status": "string"
    			}],
    			"CreateTime": "string",
    			"DeviceName": "string",
    			"Encrypted": boolean,
    			"KmsKeyId": "string",
    			"Size": number,
    			"SnapshotId": "string",
    			"Status": "string",
    			"VolumeId": "string",
    			"VolumeScanStatus": "string",
    			"VolumeType": "string"
    		},
    		"AwsEc2Vpc": {
    			"CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlock": "string",
    				"CidrBlockState": "string"
    			}],
    			"DhcpOptionsId": "string",
    			"Ipv6CidrBlockAssociationSet": [{
    				"AssociationId": "string",
    				"CidrBlockState": "string",
    				"Ipv6CidrBlock": "string"
    			}],
    			"State": "string"
    		},
    		"AwsEc2VpcEndpointService": {
    			"AcceptanceRequired": boolean,
    			"AvailabilityZones": ["string"],
    			"BaseEndpointDnsNames": ["string"],
    			"ManagesVpcEndpoints": boolean,
    			"GatewayLoadBalancerArns": ["string"],
    			"NetworkLoadBalancerArns": ["string"],
    			"PrivateDnsName": "string",
    			"ServiceId": "string",
    			"ServiceName": "string",
    			"ServiceState": "string",
    			"ServiceType": [{
    				"ServiceType": "string"
    			}]
    		},
    		"AwsEc2VpcPeeringConnection": {
    			"AccepterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"ExpirationTime": "string",
    			"RequesterVpcInfo": {
    				"CidrBlock": "string",
    				"CidrBlockSet": [{
    					"CidrBlock": "string"
    				}],
    				"Ipv6CidrBlockSet": [{
    					"Ipv6CidrBlock": "string"
    				}],
    				"OwnerId": "string",
    				"PeeringOptions": {
    					"AllowDnsResolutionFromRemoteVpc": boolean,
    					"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
    					"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
    				},
    				"Region": "string",
    				"VpcId": "string"
    			},
    			"Status": {
    				"Code": "string",
    				"Message": "string"
    			},
    			"VpcPeeringConnectionId": "string"
    		},
    		"AwsEcrContainerImage": {
    			"Architecture": "string",
    			"ImageDigest": "string",
    			"ImagePublishedAt": "string",
    			"ImageTags": ["string"],
    			"RegistryId": "string",
    			"RepositoryName": "string"
    		},
    		"AwsEcrRepository": {
    			"Arn": "string",
    			"ImageScanningConfiguration": {
    				"ScanOnPush": boolean
    			},
    			"ImageTagMutability": "string",
    			"LifecyclePolicy": {
    				"LifecyclePolicyText": "string",
    				"RegistryId": "string"
    			},
    			"RepositoryName": "string",
    			"RepositoryPolicyText": "string"
    		},
    		"AwsEcsCluster": {
    			"ActiveServicesCount": number,
    			"CapacityProviders": ["string"],
    			"ClusterArn": "string",
    			"ClusterName": "string",
    			"ClusterSettings": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"Configuration": {
    				"ExecuteCommandConfiguration": {
    					"KmsKeyId": "string",
    					"LogConfiguration": {
    						"CloudWatchEncryptionEnabled": boolean,
    						"CloudWatchLogGroupName": "string",
    						"S3BucketName": "string",
    						"S3EncryptionEnabled": boolean,
    						"S3KeyPrefix": "string"
    					},
    					"Logging": "string"
    				}
    			},
    			"DefaultCapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"RegisteredContainerInstancesCount": number,
    			"RunningTasksCount": number,
    			"Status": "string"
    		},
    		"AwsEcsContainer": {
    			"Image": "string",
    			"MountPoints": [{
    				"ContainerPath": "string",
    				"SourceVolume": "string"
    			}],
    			"Name": "string",
    			"Privileged": boolean
    		},
    		"AwsEcsService": {
    			"CapacityProviderStrategy": [{
    				"Base": number,
    				"CapacityProvider": "string",
    				"Weight": number
    			}],
    			"Cluster": "string",
    			"DeploymentConfiguration": {
    				"DeploymentCircuitBreaker": {
    					"Enable": boolean,
    					"Rollback": boolean
    				},
    				"MaximumPercent": number,
    				"MinimumHealthyPercent": number
    			},
    			"DeploymentController": {
    				"Type": "string"
    			},
    			"DesiredCount": number,
    			"EnableEcsManagedTags": boolean,
    			"EnableExecuteCommand": boolean,
    			"HealthCheckGracePeriodSeconds": number,
    			"LaunchType": "string",
    			"LoadBalancers": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"LoadBalancerName": "string",
    				"TargetGroupArn": "string"
    			}],
    			"Name": "string",
    			"NetworkConfiguration": {
    				"AwsVpcConfiguration": {
    					"AssignPublicIp": "string",
    					"SecurityGroups": ["string"],
    					"Subnets": ["string"]
    				}
    			},
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"PlacementStrategies": [{
    				"Field": "string",
    				"Type": "string"
    			}],
    			"PlatformVersion": "string",
    			"PropagateTags": "string",
    			"Role": "string",
    			"SchedulingStrategy": "string",
    			"ServiceArn": "string",
    			"ServiceName": "string",
    			"ServiceRegistries": [{
    				"ContainerName": "string",
    				"ContainerPort": number,
    				"Port": number,
    				"RegistryArn": "string"
    			}],
    			"TaskDefinition": "string"
    		},
    		"AwsEcsTask": {
    			"CreatedAt": "string",
    			"ClusterArn": "string",
    			"Group": "string",
    			"StartedAt": "string",
    			"StartedBy": "string",
    			"TaskDefinitionArn": "string",
    			"Version": number,
    			"Volumes": [{
    				"Name": "string",
    				"Host": {
    					"SourcePath": "string"
    				}
    			}],
    			"Containers": [{
    				"Image": "string",
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"Privileged": boolean
    			}]
    		},
    		"AwsEcsTaskDefinition": {
    			"ContainerDefinitions": [{
    				"Command": ["string"],
    				"Cpu": number,
    				"DependsOn": [{
    					"Condition": "string",
    					"ContainerName": "string"
    				}],
    				"DisableNetworking": boolean,
    				"DnsSearchDomains": ["string"],
    				"DnsServers": ["string"],
    				"DockerLabels": {
    					"string": "string"
    				},
    				"DockerSecurityOptions": ["string"],
    				"EntryPoint": ["string"],
    				"Environment": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"EnvironmentFiles": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Essential": boolean,
    				"ExtraHosts": [{
    					"Hostname": "string",
    					"IpAddress": "string"
    				}],
    				"FirelensConfiguration": {
    					"Options": {
    						"string": "string"
    					},
    					"Type": "string"
    				},
    				"HealthCheck": {
    					"Command": ["string"],
    					"Interval": number,
    					"Retries": number,
    					"StartPeriod": number,
    					"Timeout": number
    				},
    				"Hostname": "string",
    				"Image": "string",
    				"Interactive": boolean,
    				"Links": ["string"],
    				"LinuxParameters": {
    					"Capabilities": {
    						"Add": ["string"],
    						"Drop": ["string"]
    					},
    					"Devices": [{
    						"ContainerPath": "string",
    						"HostPath": "string",
    						"Permissions": ["string"]
    					}],
    					"InitProcessEnabled": boolean,
    					"MaxSwap": number,
    					"SharedMemorySize": number,
    					"Swappiness": number,
    					"Tmpfs": [{
    						"ContainerPath": "string",
    						"MountOptions": ["string"],
    						"Size": number
    					}]
    				},
    				"LogConfiguration": {
    					"LogDriver": "string",
    					"Options": {
    						"string": "string"
    					},
    					"SecretOptions": [{
    						"Name": "string",
    						"ValueFrom": "string"
    					}]
    				},
    				"Memory": number,
    				"MemoryReservation": number,
    				"MountPoints": [{
    					"ContainerPath": "string",
    					"ReadOnly": boolean,
    					"SourceVolume": "string"
    				}],
    				"Name": "string",
    				"PortMappings": [{
    					"ContainerPort": number,
    					"HostPort": number,
    					"Protocol": "string"
    				}],
    				"Privileged": boolean,
    				"PseudoTerminal": boolean,
    				"ReadonlyRootFilesystem": boolean,
    				"RepositoryCredentials": {
    					"CredentialsParameter": "string"
    				},
    				"ResourceRequirements": [{
    					"Type": "string",
    					"Value": "string"
    				}],
    				"Secrets": [{
    					"Name": "string",
    					"ValueFrom": "string"
    				}],
    				"StartTimeout": number,
    				"StopTimeout": number,
    				"SystemControls": [{
    					"Namespace": "string",
    					"Value": "string"
    				}],
    				"Ulimits": [{
    					"HardLimit": number,
    					"Name": "string",
    					"SoftLimit": number
    				}],
    				"User": "string",
    				"VolumesFrom": [{
    					"ReadOnly": boolean,
    					"SourceContainer": "string"
    				}],
    				"WorkingDirectory": "string"
    			}],
    			"Cpu": "string",
    			"ExecutionRoleArn": "string",
    			"Family": "string",
    			"InferenceAccelerators": [{
    				"DeviceName": "string",
    				"DeviceType": "string"
    			}],
    			"IpcMode": "string",
    			"Memory": "string",
    			"NetworkMode": "string",
    			"PidMode": "string",
    			"PlacementConstraints": [{
    				"Expression": "string",
    				"Type": "string"
    			}],
    			"ProxyConfiguration": {
    				"ContainerName": "string",
    				"ProxyConfigurationProperties": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"Type": "string"
    			},
    			"RequiresCompatibilities": ["string"],
    			"Status": "string",
    			"TaskRoleArn": "string",
    			"Volumes": [{
    				"DockerVolumeConfiguration": {
    					"Autoprovision": boolean,
    					"Driver": "string",
    					"DriverOpts": {
    						"string": "string"
    					},
    					"Labels": {
    						"string": "string"
    					},
    					"Scope": "string"
    				},
    				"EfsVolumeConfiguration": {
    					"AuthorizationConfig": {
    						"AccessPointId": "string",
    						"Iam": "string"
    					},
    					"FilesystemId": "string",
    					"RootDirectory": "string",
    					"TransitEncryption": "string",
    					"TransitEncryptionPort": number
    				},
    				"Host": {
    					"SourcePath": "string"
    				},
    				"Name": "string"
    			}]
    		},
    		"AwsEfsAccessPoint": {
    			"AccessPointId": "string",
    			"Arn": "string",
    			"ClientToken": "string",
    			"FileSystemId": "string",
    			"PosixUser": {
    				"Gid": "string",
    				"SecondaryGids": ["string"],
    				"Uid": "string"
    			},
    			"RootDirectory": {
    				"CreationInfo": {
    					"OwnerGid": "string",
    					"OwnerUid": "string",
    					"Permissions": "string"
    				},
    				"Path": "string"
    			}
    		},
    		"AwsEksCluster": {
    			"Arn": "string",
    			"CertificateAuthorityData": "string",
    			"ClusterStatus": "string",
    			"Endpoint": "string",
    			"Logging": {
    				"ClusterLogging": [{
    					"Enabled": boolean,
    					"Types": ["string"]
    				}]
    			},
    			"Name": "string",
    			"ResourcesVpcConfig": {
    				"EndpointPublicAccess": boolean,
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"RoleArn": "string",
    			"Version": "string"
    		},
    		"AwsElasticBeanstalkEnvironment": {
    			"ApplicationName": "string",
    			"Cname": "string",
    			"DateCreated": "string",
    			"DateUpdated": "string",
    			"Description": "string",
    			"EndpointUrl": "string",
    			"EnvironmentArn": "string",
    			"EnvironmentId": "string",
    			"EnvironmentLinks": [{
    				"EnvironmentName": "string",
    				"LinkName": "string"
    			}],
    			"EnvironmentName": "string",
    			"OptionSettings": [{
    				"Namespace": "string",
    				"OptionName": "string",
    				"ResourceName": "string",
    				"Value": "string"
    			}],
    			"PlatformArn": "string",
    			"SolutionStackName": "string",
    			"Status": "string",
    			"Tier": {
    				"Name": "string",
    				"Type": "string",
    				"Version": "string"
    			},
    			"VersionLabel": "string"
    		},
    		"AwsElasticSearchDomain": {
    			"AccessPolicies": "string",
    			"DomainStatus": {
    				"DomainId": "string",
    				"DomainName": "string",
    				"Endpoint": "string",
    				"Endpoints": {
    					"string": "string"
    				}
    			},
    			"DomainEndpointOptions": {
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"ElasticsearchClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"ElasticsearchVersion": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VPCOptions": {
    				"AvailabilityZones": [
    					"string"
    				],
    				"SecurityGroupIds": [
    					"string"
    				],
    				"SubnetIds": [
    					"string"
    				],
    				"VPCId": "string"
    			}
    		},
    		"AwsElbLoadBalancer": {
    			"AvailabilityZones": ["string"],
    			"BackendServerDescriptions": [{
    				"InstancePort": number,
    				"PolicyNames": ["string"]
    			}],
    			"CanonicalHostedZoneName": "string",
    			"CanonicalHostedZoneNameID": "string",
    			"CreatedTime": "string",
    			"DnsName": "string",
    			"HealthCheck": {
    				"HealthyThreshold": number,
    				"Interval": number,
    				"Target": "string",
    				"Timeout": number,
    				"UnhealthyThreshold": number
    			},
    			"Instances": [{
    				"InstanceId": "string"
    			}],
    			"ListenerDescriptions": [{
    				"Listener": {
    					"InstancePort": number,
    					"InstanceProtocol": "string",
    					"LoadBalancerPort": number,
    					"Protocol": "string",
    					"SslCertificateId": "string"
    				},
    				"PolicyNames": ["string"]
    			}],
    			"LoadBalancerAttributes": {
    				"AccessLog": {
    					"EmitInterval": number,
    					"Enabled": boolean,
    					"S3BucketName": "string",
    					"S3BucketPrefix": "string"
    				},
    				"ConnectionDraining": {
    					"Enabled": boolean,
    					"Timeout": number
    				},
    				"ConnectionSettings": {
    					"IdleTimeout": number
    				},
    				"CrossZoneLoadBalancing": {
    					"Enabled": boolean
    				},
    				"AdditionalAttributes": [{
                        "Key": "string",
                        "Value": "string"
                    }]
    			},
    			"LoadBalancerName": "string",
    			"Policies": {
    				"AppCookieStickinessPolicies": [{
    					"CookieName": "string",
    					"PolicyName": "string"
    				}],
    				"LbCookieStickinessPolicies": [{
    					"CookieExpirationPeriod": number,
    					"PolicyName": "string"
    				}],
    				"OtherPolicies": ["string"]
    			},
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"SourceSecurityGroup": {
    				"GroupName": "string",
    				"OwnerAlias": "string"
    			},
    			"Subnets": ["string"],
    			"VpcId": "string"
    		},
    		"AwsElbv2LoadBalancer": {
    			"AvailabilityZones": {
    				"SubnetId": "string",
    				"ZoneName": "string"
    			},
    			"CanonicalHostedZoneId": "string",
    			"CreatedTime": "string",
    			"DNSName": "string",
    			"IpAddressType": "string",
    			"LoadBalancerAttributes": [{
    				"Key": "string",
    				"Value": "string"
    			}],
    			"Scheme": "string",
    			"SecurityGroups": ["string"],
    			"State": {
    				"Code": "string",
    				"Reason": "string"
    			},
    			"Type": "string",
    			"VpcId": "string"
    		},
    		"AwsEventSchemasRegistry": {
    			"Description": "string",
    			"RegistryArn": "string",
    			"RegistryName": "string"
    		},
    		"AwsEventsEndpoint": {
    			"Arn": "string",
    			"Description": "string",
    			"EndpointId": "string",
    			"EndpointUrl": "string",
    			"EventBuses": [
        			{
            			"EventBusArn": "string"
        			},
        			{
            			"EventBusArn": "string"
        			}
    			],
    			"Name": "string",
    			"ReplicationConfig": {
        			"State": "string"
    			},
    			"RoleArn": "string",
    			"RoutingConfig": {
        			"FailoverConfig": {
            			"Primary": {
                			"HealthCheck": "string"
            			},
            			"Secondary": {
                			"Route": "string"
            			}
        			}
    			},
    			"State": "string"
    		},
    		"AwsEventsEventBus": {
    			"Arn": "string",
    			"Name": "string",
    			"Policy": "string"
    		},
    		"AwsGuardDutyDetector": {
    			"FindingPublishingFrequency": "string",
    			"ServiceRole": "string",
    			"Status": "string",
    			"DataSources": {
    				"CloudTrail": {
    					"Status": "string"
    				},
    				"DnsLogs": {
    					"Status": "string"
    				},
    				"FlowLogs": {
    					"Status": "string"
    				},
    				"S3Logs": {
    					"Status": "string"
    				},
    				"Kubernetes": {
    					"AuditLogs": {
    						"Status": "string"
    					}
    				},
    				"MalwareProtection": {
    					"ScanEc2InstanceWithFindings": {
    						"EbsVolumes": {
    							"Status": "string"
    						}
    					},
    					"ServiceRole": "string"
    				}
    			}
    		},
    		"AwsIamAccessKey": {
    			"AccessKeyId": "string",
    			"AccountId": "string",
    			"CreatedAt": "string",
    			"PrincipalId": "string",
    			"PrincipalName": "string",
    			"PrincipalType": "string",
    			"SessionContext": {
    				"Attributes": {
    					"CreationDate": "string",
    					"MfaAuthenticated": boolean
    				},
    				"SessionIssuer": {
    					"AccountId": "string",
    					"Arn": "string",
    					"PrincipalId": "string",
    					"Type": "string",
    					"UserName": "string"
    				}
    			},
    			"Status": "string"
    		},
    		"AwsIamGroup": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupId": "string",
    			"GroupName": "string",
    			"GroupPolicyList": [{
    				"PolicyName": "string"
    			}],
    			"Path": "string"
    		},
    		"AwsIamPolicy": {
    			"AttachmentCount": number,
    			"CreateDate": "string",
    			"DefaultVersionId": "string",
    			"Description": "string",
    			"IsAttachable": boolean,
    			"Path": "string",
    			"PermissionsBoundaryUsageCount": number,
    			"PolicyId": "string",
    			"PolicyName": "string",
    			"PolicyVersionList": [{
    				"CreateDate": "string",
    				"IsDefaultVersion": boolean,
    				"VersionId": "string"
    			}],
    			"UpdateDate": "string"
    		},
    		"AwsIamRole": {
    			"AssumeRolePolicyDocument": "string",
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"InstanceProfileList": [{
    				"Arn": "string",
    				"CreateDate": "string",
    				"InstanceProfileId": "string",
    				"InstanceProfileName": "string",
    				"Path": "string",
    				"Roles": [{
    					"Arn": "string",
    					"AssumeRolePolicyDocument": "string",
    					"CreateDate": "string",
    					"Path": "string",
    					"RoleId": "string",
    					"RoleName": "string"
    				}]
    			}],
    			"MaxSessionDuration": number,
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"RoleId": "string",
    			"RoleName": "string",
    			"RolePolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsIamUser": {
    			"AttachedManagedPolicies": [{
    				"PolicyArn": "string",
    				"PolicyName": "string"
    			}],
    			"CreateDate": "string",
    			"GroupList": ["string"],
    			"Path": "string",
    			"PermissionsBoundary": {
    				"PermissionsBoundaryArn": "string",
    				"PermissionsBoundaryType": "string"
    			},
    			"UserId": "string",
    			"UserName": "string",
    			"UserPolicyList": [{
    				"PolicyName": "string"
    			}]
    		},
    		"AwsKinesisStream": {
    			"Arn": "string",
    			"Name": "string",
    			"RetentionPeriodHours": number,
    			"ShardCount": number,
    			"StreamEncryption": {
    				"EncryptionType": "string",
    				"KeyId": "string"
    			}
    		},
    		"AwsKmsKey": {
    			"AWSAccountId": "string",
    			"CreationDate": "string",
    			"Description": "string",
    			"KeyId": "string",
    			"KeyManager": "string",
    			"KeyRotationStatus": boolean,
    			"KeyState": "string",
    			"Origin": "string"
    		},
    		"AwsLambdaFunction": {
    			"Architectures": [
    				"string"
    			],
    			"Code": {
    				"S3Bucket": "string",
    				"S3Key": "string",
    				"S3ObjectVersion": "string",
    				"ZipFile": "string"
    			},
    			"CodeSha256": "string",
    			"DeadLetterConfig": {
    				"TargetArn": "string"
    			},
    			"Environment": {
    				"Variables": {
    					"Stage": "string"
    				},
    				"Error": {
    					"ErrorCode": "string",
    					"Message": "string"
    				}
    			},
    			"FunctionName": "string",
    			"Handler": "string",
    			"KmsKeyArn": "string",
    			"LastModified": "string",
    			"Layers": {
    				"Arn": "string",
    				"CodeSize": number
    			},
    			"PackageType": "string",
    			"RevisionId": "string",
    			"Role": "string",
    			"Runtime": "string",
    			"Timeout": integer,
    			"TracingConfig": {
    				"Mode": "string"
    			},
    			"Version": "string",
    			"VpcConfig": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			},
    			"MasterArn": "string",
    			"MemorySize": number
    		},
    		"AwsLambdaLayerVersion": {
    			"CompatibleRuntimes": [
    				"string"
    			],
    			"CreatedDate": "string",
    			"Version": number
    		},
    		"AwsMskCluster": {
    			"ClusterInfo": {
    				"ClientAuthentication": {
    					"Sasl": {
    						"Scram": {
    							"Enabled": boolean
    						},
    						"Iam": {
    							"Enabled": boolean
    						}
    					},
    					"Tls": {
    						"CertificateAuthorityArnList": [],
    						"Enabled": boolean
    					},
    					"Unauthenticated": {
    						"Enabled": boolean
    					}
    				},
    				"ClusterName": "string",
    				"CurrentVersion": "string",
    				"EncryptionInfo": {
    					"EncryptionAtRest": {
    						"DataVolumeKMSKeyId": "string"
    					},
    					"EncryptionInTransit": {
    						"ClientBroker": "string",
    						"InCluster": boolean
    					}
    				},
    				"EnhancedMonitoring": "string",
    				"NumberOfBrokerNodes": integer
    			}
    		},
    		"AwsNetworkFirewallFirewall": {
    			"DeleteProtection": boolean,
    			"Description": "string",
    			"FirewallArn": "string",
    			"FirewallId": "string",
    			"FirewallName": "string",
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyChangeProtection": boolean,
    			"SubnetChangeProtection": boolean,
    			"SubnetMappings": [{
    				"SubnetId": "string"
    			}],
    			"VpcId": "string"
    		},
    		"AwsNetworkFirewallFirewallPolicy": {
    			"Description": "string",
    			"FirewallPolicy": {
    				"StatefulRuleGroupReferences": [{
    					"ResourceArn": "string"
    				}],
    				"StatelessCustomActions": [{
    					"ActionDefinition": {
    						"PublishMetricAction": {
    							"Dimensions": [{
    								"Value": "string"
    							}]
    						}
    					},
    					"ActionName": "string"
    				}],
    				"StatelessDefaultActions": ["string"],
    				"StatelessFragmentDefaultActions": ["string"],
    				"StatelessRuleGroupReferences": [{
    					"Priority": number,
    					"ResourceArn": "string"
    				}]
    			},
    			"FirewallPolicyArn": "string",
    			"FirewallPolicyId": "string",
    			"FirewallPolicyName": "string"
    		},
    		"AwsNetworkFirewallRuleGroup": {
    			"Capacity": number,
    			"Description": "string",
    			"RuleGroup": {
    				"RulesSource": {
    					"RulesSourceList": {
    						"GeneratedRulesType": "string",
    						"Targets": ["string"],
    						"TargetTypes": ["string"]
    					},
    					"RulesString": "string",
    					"StatefulRules": [{
    						"Action": "string",
    						"Header": {
    							"Destination": "string",
    							"DestinationPort": "string",
    							"Direction": "string",
    							"Protocol": "string",
    							"Source": "string",
    							"SourcePort": "string"
    						},
    						"RuleOptions": [{
    							"Keyword": "string",
    							"Settings": ["string"]
    						}]
    					}],
    					"StatelessRulesAndCustomActions": {
    						"CustomActions": [{
    							"ActionDefinition": {
    								"PublishMetricAction": {
    									"Dimensions": [{
    										"Value": "string"
    									}]
    								}
    							},
    							"ActionName": "string"
    						}],
    						"StatelessRules": [{
    							"Priority": number,
    							"RuleDefinition": {
    								"Actions": ["string"],
    								"MatchAttributes": {
    									"DestinationPorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Destinations": [{
    										"AddressDefinition": "string"
    									}],
    									"Protocols": [number],
    									"SourcePorts": [{
    										"FromPort": number,
    										"ToPort": number
    									}],
    									"Sources": [{
    										"AddressDefinition": "string"
    									}],
    									"TcpFlags": [{
    										"Flags": ["string"],
    										"Masks": ["string"]
    									}]
    								}
    							}
    						}]
    					}
    				},
    				"RuleVariables": {
    					"IpSets": {
    						"Definition": ["string"]
    					},
    					"PortSets": {
    						"Definition": ["string"]
    					}
    				}
    			},
    			"RuleGroupArn": "string",
    			"RuleGroupId": "string",
    			"RuleGroupName": "string",
    			"Type": "string"
    		},
    		"AwsOpenSearchServiceDomain": {
    			"AccessPolicies": "string",
    			"AdvancedSecurityOptions": {
    				"Enabled": boolean,
    				"InternalUserDatabaseEnabled": boolean,
    				"MasterUserOptions": {
    					"MasterUserArn": "string",
    					"MasterUserName": "string",
    					"MasterUserPassword": "string"
    				}
    			},
    			"Arn": "string",
    			"ClusterConfig": {
    				"DedicatedMasterCount": number,
    				"DedicatedMasterEnabled": boolean,
    				"DedicatedMasterType": "string",
    				"InstanceCount": number,
    				"InstanceType": "string",
    				"WarmCount": number,
    				"WarmEnabled": boolean,
    				"WarmType": "string",
    				"ZoneAwarenessConfig": {
    					"AvailabilityZoneCount": number
    				},
    				"ZoneAwarenessEnabled": boolean
    			},
    			"DomainEndpoint": "string",
    			"DomainEndpointOptions": {
    				"CustomEndpoint": "string",
    				"CustomEndpointCertificateArn": "string",
    				"CustomEndpointEnabled": boolean,
    				"EnforceHTTPS": boolean,
    				"TLSSecurityPolicy": "string"
    			},
    			"DomainEndpoints": {
    				"string": "string"
    			},
    			"DomainName": "string",
    			"EncryptionAtRestOptions": {
    				"Enabled": boolean,
    				"KmsKeyId": "string"
    			},
    			"EngineVersion": "string",
    			"Id": "string",
    			"LogPublishingOptions": {
    				"AuditLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"IndexSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				},
    				"SearchSlowLogs": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Enabled": boolean
    				}
    			},
    			"NodeToNodeEncryptionOptions": {
    				"Enabled": boolean
    			},
    			"ServiceSoftwareOptions": {
    				"AutomatedUpdateDate": "string",
    				"Cancellable": boolean,
    				"CurrentVersion": "string",
    				"Description": "string",
    				"NewVersion": "string",
    				"OptionalDeployment": boolean,
    				"UpdateAvailable": boolean,
    				"UpdateStatus": "string"
    			},
    			"VpcOptions": {
    				"SecurityGroupIds": ["string"],
    				"SubnetIds": ["string"]
    			}
    		},
    		"AwsRdsDbCluster": {
    			"ActivityStreamStatus": "string",
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZones": ["string"],
    			"BackupRetentionPeriod": integer,
    			"ClusterCreateTime": "string",
    			"CopyTagsToSnapshot": boolean,
    			"CrossAccountClone": boolean,
    			"CustomEndpoints": ["string"],
    			"DatabaseName": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterMembers": [{
    				"DbClusterParameterGroupStatus": "string",
    				"DbInstanceIdentifier": "string",
    				"IsClusterWriter": boolean,
    				"PromotionTier": integer
    			}],
    			"DbClusterOptionGroupMemberships": [{
    				"DbClusterOptionGroupName": "string",
    				"Status": "string"
    			}],
    			"DbClusterParameterGroup": "string",
    			"DbClusterResourceId": "string",
    			"DbSubnetGroup": "string",
    			"DeletionProtection": boolean,
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Endpoint": "string",
    			"Engine": "string",
    			"EngineMode": "string",
    			"EngineVersion": "string",
    			"HostedZoneId": "string",
    			"HttpEndpointEnabled": boolean,
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"MasterUsername": "string",
    			"MultiAz": boolean,
    			"Port": integer,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ReaderEndpoint": "string",
    			"ReadReplicaIdentifiers": ["string"],
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRdsDbClusterSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZones": ["string"],
    			"ClusterCreateTime": "string",
    			"DbClusterIdentifier": "string",
    			"DbClusterSnapshotAttributes": [{
    				"AttributeName": "string",
    				"AttributeValues": ["string"]
    			}],
    			"DbClusterSnapshotIdentifier": "string",
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"Status": "string",
    			"StorageEncrypted": boolean,
    			"VpcId": "string"
    		},
    		"AwsRdsDbInstance": {
    			"AllocatedStorage": number,
    			"AssociatedRoles": [{
    				"RoleArn": "string",
    				"FeatureName": "string",
    				"Status": "string"
    			}],
    			"AutoMinorVersionUpgrade": boolean,
    			"AvailabilityZone": "string",
    			"BackupRetentionPeriod": number,
    			"CACertificateIdentifier": "string",
    			"CharacterSetName": "string",
    			"CopyTagsToSnapshot": boolean,
    			"DBClusterIdentifier": "string",
    			"DBInstanceClass": "string",
    			"DBInstanceIdentifier": "string",
    			"DbInstancePort": number,
    			"DbInstanceStatus": "string",
    			"DbiResourceId": "string",
    			"DBName": "string",
    			"DbParameterGroups": [{
    				"DbParameterGroupName": "string",
    				"ParameterApplyStatus": "string"
    			}],
    			"DbSecurityGroups": ["string"],
    			"DbSubnetGroup": {
    				"DbSubnetGroupArn": "string",
    				"DbSubnetGroupDescription": "string",
    				"DbSubnetGroupName": "string",
    				"SubnetGroupStatus": "string",
    				"Subnets": [{
    					"SubnetAvailabilityZone": {
    						"Name": "string"
    					},
    					"SubnetIdentifier": "string",
    					"SubnetStatus": "string"
    				}],
    				"VpcId": "string"
    			},
    			"DeletionProtection": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number,
    				"HostedZoneId": "string"
    			},
    			"DomainMemberships": [{
    				"Domain": "string",
    				"Fqdn": "string",
    				"IamRoleName": "string",
    				"Status": "string"
    			}],
    			"EnabledCloudwatchLogsExports": ["string"],
    			"Engine": "string",
    			"EngineVersion": "string",
    			"EnhancedMonitoringResourceArn": "string",
    			"IAMDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LatestRestorableTime": "string",
    			"LicenseModel": "string",
    			"ListenerEndpoint": {
    				"Address": "string",
    				"HostedZoneId": "string",
    				"Port": number
    			},
    			"MasterUsername": "admin",
    			"MaxAllocatedStorage": number,
    			"MonitoringInterval": number,
    			"MonitoringRoleArn": "string",
    			"MultiAz": boolean,
    			"OptionGroupMemberships": [{
    				"OptionGroupName": "string",
    				"Status": "string"
    			}],
    			"PendingModifiedValues": {
    				"AllocatedStorage": number,
    				"BackupRetentionPeriod": number,
    				"CaCertificateIdentifier": "string",
    				"DbInstanceClass": "string",
    				"DbInstanceIdentifier": "string",
    				"DbSubnetGroupName": "string",
    				"EngineVersion": "string",
    				"Iops": number,
    				"LicenseModel": "string",
    				"MasterUserPassword": "string",
    				"MultiAZ": boolean,
    				"PendingCloudWatchLogsExports": {
    					"LogTypesToDisable": ["string"],
    					"LogTypesToEnable": ["string"]
    				},
    				"Port": number,
    				"ProcessorFeatures": [{
    					"Name": "string",
    					"Value": "string"
    				}],
    				"StorageType": "string"
    			},
    			"PerformanceInsightsEnabled": boolean,
    			"PerformanceInsightsKmsKeyId": "string",
    			"PerformanceInsightsRetentionPeriod": number,
    			"PreferredBackupWindow": "string",
    			"PreferredMaintenanceWindow": "string",
    			"ProcessorFeatures": [{
    				"Name": "string",
    				"Value": "string"
    			}],
    			"PromotionTier": number,
    			"PubliclyAccessible": boolean,
    			"ReadReplicaDBClusterIdentifiers": ["string"],
    			"ReadReplicaDBInstanceIdentifiers": ["string"],
    			"ReadReplicaSourceDBInstanceIdentifier": "string",
    			"SecondaryAvailabilityZone": "string",
    			"StatusInfos": [{
    				"Message": "string",
    				"Normal": boolean,
    				"Status": "string",
    				"StatusType": "string"
    			}],
    			"StorageEncrypted": boolean,
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcSecurityGroups": [{
    				"VpcSecurityGroupId": "string",
    				"Status": "string"
    			}]
    		},
    		"AwsRdsDbSecurityGroup": {
    			"DbSecurityGroupArn": "string",
    			"DbSecurityGroupDescription": "string",
    			"DbSecurityGroupName": "string",
    			"Ec2SecurityGroups": [{
    				"Ec2SecurityGroupuId": "string",
    				"Ec2SecurityGroupName": "string",
    				"Ec2SecurityGroupOwnerId": "string",
    				"Status": "string"
    			}],
    			"IpRanges": [{
    				"CidrIp": "string",
    				"Status": "string"
    			}],
    			"OwnerId": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsDbSnapshot": {
    			"AllocatedStorage": integer,
    			"AvailabilityZone": "string",
    			"DbInstanceIdentifier": "string",
    			"DbiResourceId": "string",
    			"DbSnapshotIdentifier": "string",
    			"Encrypted": boolean,
    			"Engine": "string",
    			"EngineVersion": "string",
    			"IamDatabaseAuthenticationEnabled": boolean,
    			"InstanceCreateTime": "string",
    			"Iops": number,
    			"KmsKeyId": "string",
    			"LicenseModel": "string",
    			"MasterUsername": "string",
    			"OptionGroupName": "string",
    			"PercentProgress": integer,
    			"Port": integer,
    			"ProcessorFeatures": [],
    			"SnapshotCreateTime": "string",
    			"SnapshotType": "string",
    			"SourceDbSnapshotIdentifier": "string",
    			"SourceRegion": "string",
    			"Status": "string",
    			"StorageType": "string",
    			"TdeCredentialArn": "string",
    			"Timezone": "string",
    			"VpcId": "string"
    		},
    		"AwsRdsEventSubscription": {
    			"CustomerAwsId": "string",
    			"CustSubscriptionId": "string",
    			"Enabled": boolean,
    			"EventCategoriesList": ["string"],
    			"EventSubscriptionArn": "string",
    			"SnsTopicArn": "string",
    			"SourceIdsList": ["string"],
    			"SourceType": "string",
    			"Status": "string",
    			"SubscriptionCreationTime": "string"
    		},
    		"AwsRedshiftCluster": {
    			"AllowVersionUpgrade": boolean,
    			"AutomatedSnapshotRetentionPeriod": number,
    			"AvailabilityZone": "string",
    			"ClusterAvailabilityStatus": "string",
    			"ClusterCreateTime": "string",
    			"ClusterIdentifier": "string",
    			"ClusterNodes": [{
    				"NodeRole": "string",
    				"PrivateIPAddress": "string",
    				"PublicIPAddress": "string"
    			}],
    			"ClusterParameterGroups": [{
    				"ClusterParameterStatusList": [{
    					"ParameterApplyErrorDescription": "string",
    					"ParameterApplyStatus": "string",
    					"ParameterName": "string"
    				}],
    				"ParameterApplyStatus": "string",
    				"ParameterGroupName": "string"
    			}],
    			"ClusterPublicKey": "string",
    			"ClusterRevisionNumber": "string",
    			"ClusterSecurityGroups": [{
    				"ClusterSecurityGroupName": "string",
    				"Status": "string"
    			}],
    			"ClusterSnapshotCopyStatus": {
    				"DestinationRegion": "string",
    				"ManualSnapshotRetentionPeriod": number,
    				"RetentionPeriod": number,
    				"SnapshotCopyGrantName": "string"
    			},
    			"ClusterStatus": "string",
    			"ClusterSubnetGroupName": "string",
    			"ClusterVersion": "string",
    			"DBName": "string",
    			"DeferredMaintenanceWindows": [{
    				"DeferMaintenanceEndTime": "string",
    				"DeferMaintenanceIdentifier": "string",
    				"DeferMaintenanceStartTime": "string"
    			}],
    			"ElasticIpStatus": {
    				"ElasticIp": "string",
    				"Status": "string"
    			},
    			"ElasticResizeNumberOfNodeOptions": "string",
    			"Encrypted": boolean,
    			"Endpoint": {
    				"Address": "string",
    				"Port": number
    			},
    			"EnhancedVpcRouting": boolean,
    			"ExpectedNextSnapshotScheduleTime": "string",
    			"ExpectedNextSnapshotScheduleTimeStatus": "string",
    			"HsmStatus": {
    				"HsmClientCertificateIdentifier": "string",
    				"HsmConfigurationIdentifier": "string",
    				"Status": "string"
    			},
    			"IamRoles": [{
    				"ApplyStatus": "string",
    				"IamRoleArn": "string"
    			}],
    			"KmsKeyId": "string",
    			"LoggingStatus":{
                    "BucketName": "string",
                    "LastFailureMessage": "string",
                    "LastFailureTime": "string",
                    "LastSuccessfulDeliveryTime": "string",
                    "LoggingEnabled": boolean,
                    "S3KeyPrefix": "string"
                },
    			"MaintenanceTrackName": "string",
    			"ManualSnapshotRetentionPeriod": number,
    			"MasterUsername": "string",
    			"NextMaintenanceWindowStartTime": "string",
    			"NodeType": "string",
    			"NumberOfNodes": number,
    			"PendingActions": ["string"],
    			"PendingModifiedValues": {
    				"AutomatedSnapshotRetentionPeriod": number,
    				"ClusterIdentifier": "string",
    				"ClusterType": "string",
    				"ClusterVersion": "string",
    				"EncryptionType": "string",
    				"EnhancedVpcRouting": boolean,
    				"MaintenanceTrackName": "string",
    				"MasterUserPassword": "string",
    				"NodeType": "string",
    				"NumberOfNodes": number,
    				"PubliclyAccessible": "string"
    			},
    			"PreferredMaintenanceWindow": "string",
    			"PubliclyAccessible": boolean,
    			"ResizeInfo": {
    				"AllowCancelResize": boolean,
    				"ResizeType": "string"
    			},
    			"RestoreStatus": {
    				"CurrentRestoreRateInMegaBytesPerSecond": number,
    				"ElapsedTimeInSeconds": number,
    				"EstimatedTimeToCompletionInSeconds": number,
    				"ProgressInMegaBytes": number,
    				"SnapshotSizeInMegaBytes": number,
    				"Status": "string"
    			},
    			"SnapshotScheduleIdentifier": "string",
    			"SnapshotScheduleState": "string",
    			"VpcId": "string",
    			"VpcSecurityGroups": [{
    				"Status": "string",
    				"VpcSecurityGroupId": "string"
    			}]
    		},
    		"AwsRoute53HostedZone": {
    			"HostedZone": {
    				"Id": "string",
    				"Name": "string",
    				"Config": {
    					"Comment": "string"
    				}
    			},
    			"NameServers": ["string"],
    			"QueryLoggingConfig": {
    				"CloudWatchLogsLogGroupArn": {
    					"CloudWatchLogsLogGroupArn": "string",
    					"Id": "string",
    					"HostedZoneId": "string"
    				}
    			},
    			"Vpcs": [
    				{
    					"Id": "string",
    					"Region": "string"
    				}
    			]
    		},
    		"AwsS3AccessPoint": {
    			"AccessPointArn": "string",
    			"Alias": "string",
    			"Bucket": "string",
    			"BucketAccountId": "string",
    			"Name": "string",
    			"NetworkOrigin": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"VpcConfiguration": {
    				"VpcId": "string"
    			}
    		},
    		"AwsS3AccountPublicAccessBlock": {
    			"BlockPublicAcls": boolean,
    			"BlockPublicPolicy": boolean,
    			"IgnorePublicAcls": boolean,
    			"RestrictPublicBuckets": boolean
    		},
    		"AwsS3Bucket": {
    			"AccessControlList": "string",
    			"BucketLifecycleConfiguration": {
    				"Rules": [{
    					"AbortIncompleteMultipartUpload": {
    						"DaysAfterInitiation": number
    					},
    					"ExpirationDate": "string",
    					"ExpirationInDays": number,
    					"ExpiredObjectDeleteMarker": boolean,
    					"Filter": {
    						"Predicate": {
    							"Operands": [{
    									"Prefix": "string",
    									"Type": "string"
    								},
    								{
    									"Tag": {
    										"Key": "string",
    										"Value": "string"
    									},
    									"Type": "string"
    								}
    							],
    							"Type": "string"
    						}
    					},
    					"Id": "string",
    					"NoncurrentVersionExpirationInDays": number,
    					"NoncurrentVersionTransitions": [{
    						"Days": number,
    						"StorageClass": "string"
    					}],
    					"Prefix": "string",
    					"Status": "string",
    					"Transitions": [{
    						"Date": "string",
    						"Days": number,
    						"StorageClass": "string"
    					}]
    				}]
    			},
    			"BucketLoggingConfiguration": {
    				"DestinationBucketName": "string",
    				"LogFilePrefix": "string"
    			},
    			"BucketName": "string",
    			"BucketNotificationConfiguration": {
    				"Configurations": [{
    					"Destination": "string",
    					"Events": ["string"],
    					"Filter": {
    						"S3KeyFilter": {
    							"FilterRules": [{
    								"Name": "string",
    								"Value": "string"
    							}]
    						}
    					},
    					"Type": "string"
    				}]
    			},
    			"BucketVersioningConfiguration": {
    				"IsMfaDeleteEnabled": boolean,
    				"Status": "string"
    			},
    			"BucketWebsiteConfiguration": {
    				"ErrorDocument": "string",
    				"IndexDocumentSuffix": "string",
    				"RedirectAllRequestsTo": {
    					"HostName": "string",
    					"Protocol": "string"
    				},
    				"RoutingRules": [{
    					"Condition": {
    						"HttpErrorCodeReturnedEquals": "string",
    						"KeyPrefixEquals": "string"
    					},
    					"Redirect": {
    						"HostName": "string",
    						"HttpRedirectCode": "string",
    						"Protocol": "string",
    						"ReplaceKeyPrefixWith": "string",
    						"ReplaceKeyWith": "string"
    					}
    				}]
    			},
    			"CreatedAt": "string",
    			"ObjectLockConfiguration": {
    				"ObjectLockEnabled": "string",
    				"Rule": {
    					"DefaultRetention": {
    						"Days": integer,
    						"Mode": "string",
    						"Years": integer
    					}
    				}
    			},
    			"OwnerAccountId": "string",
    			"OwnerId": "string",
    			"OwnerName": "string",
    			"PublicAccessBlockConfiguration": {
    				"BlockPublicAcls": boolean,
    				"BlockPublicPolicy": boolean,
    				"IgnorePublicAcls": boolean,
    				"RestrictPublicBuckets": boolean
    			},
    			"ServerSideEncryptionConfiguration": {
    				"Rules": [{
    					"ApplyServerSideEncryptionByDefault": {
    						"KMSMasterKeyID": "string",
    						"SSEAlgorithm": "string"
    					}
    				}]
    			}
    		},
    		"AwsS3Object": {
    			"ContentType": "string",
    			"ETag": "string",
    			"LastModified": "string",
    			"ServerSideEncryption": "string",
    			"SSEKMSKeyId": "string",
    			"VersionId": "string"
    		},
    		"AwsSagemakerNotebookInstance": {
    			"DirectInternetAccess": "string",
    			"InstanceMetadataServiceConfiguration": {
    				"MinimumInstanceMetadataServiceVersion": "string"
    			},
    			"InstanceType": "string",
    			"LastModifiedTime": "string",
    			"NetworkInterfaceId": "string",
    			"NotebookInstanceArn": "string",
    			"NotebookInstanceName": "string",
    			"NotebookInstanceStatus": "string",
    			"PlatformIdentifier": "string",
    			"RoleArn": "string",
    			"RootAccess": "string",
    			"SecurityGroups": ["string"],
    			"SubnetId": "string",
    			"Url": "string",
    			"VolumeSizeInGB": number
    		},
    		"AwsSecretsManagerSecret": {
    			"Deleted": boolean,
    			"Description": "string",
    			"KmsKeyId": "string",
    			"Name": "string",
    			"RotationEnabled": boolean,
    			"RotationLambdaArn": "string",
    			"RotationOccurredWithinFrequency": boolean,
    			"RotationRules": {
    				"AutomaticallyAfterDays": integer
    			}
    		},
    		"AwsSnsTopic": {
    			"ApplicationSuccessFeedbackRoleArn": "string",		
    			"FirehoseFailureFeedbackRoleArn": "string",
    			"FirehoseSuccessFeedbackRoleArn": "string",
    			"HttpFailureFeedbackRoleArn": "string",
    			"HttpSuccessFeedbackRoleArn": "string",
    			"KmsMasterKeyId": "string",                 
    			"Owner": "string",
    			"SqsFailureFeedbackRoleArn": "string",
    			"SqsSuccessFeedbackRoleArn": "string",	
    			"Subscription": {
    				"Endpoint": "string",
    				"Protocol": "string"
    			},
    			"TopicName": "string"   			              
    		},
    		"AwsSqsQueue": {
    			"DeadLetterTargetArn": "string",
    			"KmsDataKeyReusePeriodSeconds": number,
    			"KmsMasterKeyId": "string",
    			"QueueName": "string"
    		},
    		"AwsSsmPatchCompliance": {
    			"Patch": {
    				"ComplianceSummary": {
    					"ComplianceType": "string",
    					"CompliantCriticalCount": integer,
    					"CompliantHighCount": integer,
    					"CompliantInformationalCount": integer,
    					"CompliantLowCount": integer,
    					"CompliantMediumCount": integer,
    					"CompliantUnspecifiedCount": integer,
    					"ExecutionType": "string",
    					"NonCompliantCriticalCount": integer,
    					"NonCompliantHighCount": integer,
    					"NonCompliantInformationalCount": integer,
    					"NonCompliantLowCount": integer,
    					"NonCompliantMediumCount": integer,
    					"NonCompliantUnspecifiedCount": integer,
    					"OverallSeverity": "string",
    					"PatchBaselineId": "string",
    					"PatchGroup": "string",
    					"Status": "string"
    				}
    			}
    		},
    		"AwsStepFunctionStateMachine": {
    			"StateMachineArn": "string",
    			"Name": "string",
    			"Status": "string",
    			"RoleArn": "string",
    			"Type": "string",
    			"LoggingConfiguration": {
    				"Level": "string",
    				"IncludeExecutionData": boolean
    			},
    			"TracingConfiguration": {
    				"Enabled": boolean
    			}
    		},
    		"AwsWafRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRateBasedRule": {
    			"MatchPredicates": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"MetricName": "string",
    			"Name": "string",
    			"RateKey": "string",
    			"RateLimit": number,
    			"RuleId": "string"
    		},
    		"AwsWafRegionalRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleId": "string",
    			"PredicateList": [{
        			"DataId": "string",
        			"Negated": boolean,
        			"Type": "string"
    			}]
    		},
    		"AwsWafRegionalRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafRegionalWebAcl": {
    			"DefaultAction": "string",
    			"MetricName" : "string",
    			"Name": "string",
    			"RulesList" : [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string",
    				"ExcludedRules": [{
    					"ExclusionType": "string",
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				}
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafRule": {
    			"MetricName": "string",
    			"Name": "string",
    			"PredicateList": [{
    				"DataId": "string",
    				"Negated": boolean,
    				"Type": "string"
    			}],
    			"RuleId": "string"
    		},
    		"AwsWafRuleGroup": {
    			"MetricName": "string",
    			"Name": "string",
    			"RuleGroupId": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}]
    		},
    		"AwsWafv2RuleGroup": {
    			"Arn": "string",
    			"Capacity": number,
    			"Description": "string",
    			"Id": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    				"Allow": {
    					"CustomRequestHandling": {
    						"InsertHeaders": [
    							{
    							"Name": "string",
    							"Value": "string"
    							},
    							{
    							"Name": "string",
    							"Value": "string"
    							}
    						]
    					}
    				}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string",
    					"SampledRequestsEnabled": boolean
    				}
    			}],
    			"VisibilityConfig": {
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string",
    				"SampledRequestsEnabled": boolean
    			}
    		},
    		"AwsWafWebAcl": {
    			"DefaultAction": "string",
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"Type": "string"
    				},
    				"ExcludedRules": [{
    					"RuleId": "string"
    				}],
    				"OverrideAction": {
    					"Type": "string"
    				},
    				"Priority": number,
    				"RuleId": "string",
    				"Type": "string"
    			}],
    			"WebAclId": "string"
    		},
    		"AwsWafv2WebAcl": {
    			"Arn": "string",
    			"Capacity": number,
    			"CaptchaConfig": {
    				"ImmunityTimeProperty": {
    					"ImmunityTime": number
    				}
    			},
    			"DefaultAction": {
    				"Block": {}
    			},
    			"Description": "string",
    			"ManagedbyFirewallManager": boolean,
    			"Name": "string",
    			"Rules": [{
    				"Action": {
    					"RuleAction": {
    						"Block": {}
    					}
    				},
    				"Name": "string",
    				"Priority": number,
    				"VisibilityConfig": {
    					"SampledRequestsEnabled": boolean,
    					"CloudWatchMetricsEnabled": boolean,
    					"MetricName": "string"
    				}
    			}],
    			"VisibilityConfig": {
    				"SampledRequestsEnabled": boolean,
    				"CloudWatchMetricsEnabled": boolean,
    				"MetricName": "string"
    			}
    		},
    		"AwsXrayEncryptionConfig": {
    			"KeyId": "string",
    			"Status": "string",
    			"Type": "string"
    		},
    		"CodeRepository": {
    			"CodeSecurityIntegrationArn": "string",
    			"ProjectName": "string",
    			"ProviderType": "string"
    		},
    		"Container": {
    			"ContainerRuntime": "string",
    			"ImageId": "string",
    			"ImageName": "string",
    			"LaunchedAt": "string",
    			"Name": "string",
    			"Privileged": boolean,
    			"VolumeMounts": [{
    				"Name": "string",
    				"MountPath": "string"
    			}]
    		}, 
    		"Other": {
    			"string": "string"
    		},
    		"Id": "string",
    		"Partition": "string",
    		"Region": "string",
    		"ResourceRole": "string",
    		"Tags": {
    			"string": "string"
    		},
    		"Type": "string"
    	}],
    	"SchemaVersion": "string",
    	"Severity": {
    		"Label": "string",
    		"Normalized": number,
    		"Original": "string"
    	},
    	"Sample": boolean,
    	"SourceUrl": "string",
    	"Threats": [{
    		"FilePaths": [{
    			"FileName": "string",
    			"FilePath": "string",
    			"Hash": "string",
    			"ResourceId": "string"
    		}],
    		"ItemCount": number,
    		"Name": "string",
    		"Severity": "string"
    	}],
    	"ThreatIntelIndicators": [{
    		"Category": "string",
    		"LastObservedAt": "string",
    		"Source": "string",
    		"SourceUrl": "string",
    		"Type": "string",
    		"Value": "string"
    	}],
    	"Title": "string",
    	"Types": ["string"],
    	"UpdatedAt": "string",
    	"UserDefinedFields": {
    		"string": "string"
    	},
    	"VerificationState": "string",
    	"Vulnerabilities": [{
    		"CodeVulnerabilities": [{
    			"Cwes": [
    				"string",
    				"string"
    			],
    			"FilePath": {
    				"EndLine": integer,
    				"FileName": "string",
    				"FilePath": "string",
    				"StartLine": integer
    			},
    			"SourceArn":"string"
    		}],
    		"Cvss": [{
    			"Adjustments": [{
    				"Metric": "string",
    				"Reason": "string"
    			}],
    			"BaseScore": number,
    			"BaseVector": "string",
    			"Source": "string",
    			"Version": "string"
    		}],
    		"EpssScore": number,
    		"ExploitAvailable": "string",
    		"FixAvailable": "string",
    		"Id": "string",
    		"LastKnownExploitAt": "string",
    		"ReferenceUrls": ["string"],
    		"RelatedVulnerabilities": ["string"],
    		"Vendor": {
    			"Name": "string",
    			"Url": "string",
    			"VendorCreatedAt": "string",
    			"VendorSeverity": "string",
    			"VendorUpdatedAt": "string"
    		},
    		"VulnerablePackages": [{
    			"Architecture": "string",
    			"Epoch": "string",
    			"FilePath": "string",
    			"FixedInVersion": "string",
    			"Name": "string",
    			"PackageManager": "string",
    			"Release": "string",
    			"Remediation": "string",
    			"SourceLayerArn": "string",
    			"SourceLayerHash": "string",
    			"Version": "string"
    		}]
    	}],
    	"Workflow": {
    		"Status": "string"
    	},
    	"WorkflowState": "string"
    }
]
```

# Dampak konsolidasi pada bidang dan nilai ASFF
<a name="asff-changes-consolidation"></a>

AWS Security Hub CSPM menawarkan dua jenis konsolidasi untuk kontrol:
+ **Tampilan kontrol konsolidasi** — Dengan jenis konsolidasi ini, setiap kontrol memiliki pengidentifikasi tunggal di semua standar. Selain itu, pada konsol CSPM Security Hub, halaman **Kontrol** menampilkan semua kontrol di semua standar. 
+ **Temuan kontrol konsolidasi** — Dengan jenis konsolidasi ini, Security Hub CSPM menghasilkan satu temuan untuk kontrol, bahkan jika kontrol berlaku untuk beberapa standar yang diaktifkan. Hal ini dapat mengurangi kebisingan. 

Anda tidak dapat mengaktifkan atau menonaktifkan tampilan kontrol konsolidasi. Temuan kontrol konsolidasi diaktifkan secara default jika Anda mengaktifkan CSPM Security Hub pada atau setelah 23 Februari 2023. Jika tidak, itu dinonaktifkan secara default. Namun, untuk organisasi, temuan kontrol konsolidasi diaktifkan untuk akun anggota CSPM Security Hub hanya jika diaktifkan untuk akun administrator. Untuk mempelajari lebih lanjut tentang temuan kontrol terkonsolidasi, lihat[Menghasilkan dan memperbarui temuan kontrol](controls-findings-create-update.md).

Kedua jenis konsolidasi mempengaruhi bidang dan nilai untuk temuan kontrol di. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md)

**Topics**
+ [Tampilan kontrol konsolidasi - perubahan ASFF](#securityhub-findings-format-consolidated-controls-view)
+ [Temuan kontrol konsolidasi - perubahan ASFF](#securityhub-findings-format-consolidated-control-findings)
+ [Generator IDs sebelum dan sesudah memungkinkan temuan kontrol terkonsolidasi](#securityhub-findings-format-changes-generator-ids)
+ [Bagaimana konsolidasi berdampak pada kontrol IDs dan judul](#securityhub-findings-format-changes-ids-titles)
+ [Memperbarui alur kerja untuk konsolidasi](#securityhub-findings-format-changes-prepare)

## Tampilan kontrol konsolidasi - perubahan ASFF
<a name="securityhub-findings-format-consolidated-controls-view"></a>

Fitur tampilan kontrol terkonsolidasi memperkenalkan perubahan berikut pada bidang dan nilai untuk temuan kontrol di ASFF. Jika alur kerja Anda tidak bergantung pada nilai untuk bidang ASFF ini, tidak diperlukan tindakan. Jika Anda memiliki alur kerja yang mengandalkan nilai tertentu untuk bidang ini, perbarui alur kerja Anda untuk menggunakan nilai saat ini.


| Bidang ASFF  | Nilai sampel sebelum tampilan kontrol konsolidasi  | Nilai sampel setelah tampilan kontrol terkonsolidasi, dan deskripsi perubahan  | 
| --- | --- | --- | 
|  Kepatuhan. SecurityControlId  |  Tidak berlaku (bidang baru)  |  EC2.2 Memperkenalkan ID kontrol tunggal di seluruh standar. `ProductFields.RuleId`masih menyediakan ID kontrol berbasis standar untuk kontrol CIS v1.2.0. `ProductFields.ControlId`masih menyediakan ID kontrol berbasis standar untuk kontrol dalam standar lain.  | 
|  Kepatuhan. AssociatedStandards  |  Tidak berlaku (bidang baru)  |  [\$1” StandardsId “:" standards/aws-foundational-security-best-practices/v /1.0.0 “\$1] Menunjukkan standar mana kontrol diaktifkan.  | 
|  ProductFields. ArchivalReasons:0/Deskripsi  |  Tidak berlaku (bidang baru)  |  “Temuan ini dalam keadaan ARCHIVED karena temuan kontrol konsolidasi telah diaktifkan atau dimatikan. Hal ini menyebabkan temuan di negara bagian sebelumnya diarsipkan ketika temuan baru sedang dihasilkan.” Menjelaskan mengapa Security Hub CSPM telah mengarsipkan temuan yang ada.  | 
|  ProductFields. ArchivalReasons:0/ ReasonCode  |  Tidak berlaku (bidang baru)  |  “CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE” Memberikan alasan mengapa Security Hub CSPM telah mengarsipkan temuan yang ada.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Bidang ini tidak lagi mereferensikan standar.  | 
|  Remediation.Recommendation.Text  |  “Untuk petunjuk tentang cara memperbaiki masalah ini, lihat dokumentasi AWS Security Hub CSPM PCI DSS.”  |  “Untuk petunjuk tentang cara memperbaiki masalah ini, lihat dokumentasi kontrol CSPM AWS Security Hub.” Bidang ini tidak lagi mereferensikan standar.  | 
|  Remediasi.Rekomendasi.Url  |  https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Bidang ini tidak lagi mereferensikan standar.  | 

## Temuan kontrol konsolidasi - perubahan ASFF
<a name="securityhub-findings-format-consolidated-control-findings"></a>

Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda mungkin terpengaruh oleh perubahan bidang dan nilai berikut untuk temuan kontrol di ASFF. Perubahan ini merupakan tambahan dari perubahan yang diperkenalkan oleh fitur tampilan kontrol terkonsolidasi. Jika alur kerja Anda tidak bergantung pada nilai untuk bidang ASFF ini, tidak diperlukan tindakan. Jika Anda memiliki alur kerja yang mengandalkan nilai tertentu untuk bidang ini, perbarui alur kerja Anda untuk menggunakan nilai saat ini.

**Tip**  
Jika Anda menggunakan [Respons Keamanan Otomatis pada solusi AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), perhatikan bahwa solusi ini mendukung temuan kontrol terkonsolidasi. Ini berarti Anda dapat mempertahankan alur kerja saat ini jika Anda mengaktifkan temuan kontrol terkonsolidasi. 


| Bidang ASFF  | Nilai contoh sebelum mengaktifkan temuan kontrol konsolidasi  | Nilai contoh setelah mengaktifkan temuan kontrol konsolidasi, dan deskripsi perubahan  | 
| --- | --- | --- | 
| GeneratorId |  aws-foundational-security-best- practices/v/1.0.0/Config .1  |  Kontrol keamanan/config.1 Bidang ini tidak lagi mereferensikan standar.  | 
|  judul  |  PCI.config.1 harus diaktifkan AWS Config  |  AWS Config harus diaktifkan Bidang ini tidak lagi mereferensikan informasi khusus standar.  | 
|  Id  |  arn:aws:securityhub: eu-central- 1:123456789012:6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab  |  arn:aws:securityhub: eu-central- 1:123456789012: keamanan- 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Bidang ini tidak lagi mereferensikan standar.  | 
|  ProductFields.ControlId  |  PCI.EC2.2  |  Dihapus. Lihat `Compliance.SecurityControlId` sebagai gantinya. Bidang ini dihapus demi ID kontrol agnostik standar tunggal.  | 
|  ProductFields.RuleId  |  1.3  |  Dihapus. Lihat `Compliance.SecurityControlId` sebagai gantinya. Bidang ini dihapus demi ID kontrol agnostik standar tunggal.  | 
|  Deskripsi  |  Kontrol PCI DSS ini memeriksa apakah AWS Config diaktifkan di akun dan wilayah saat ini.  |   AWS Kontrol ini memeriksa apakah AWS Config diaktifkan di akun dan wilayah saat ini.Bidang ini tidak lagi mereferensikan standar.  | 
|  Kepelikan  |  “Keparahan”: \$1 “Produk”: 90, “Label”: “KRITIS”, “Dinormalisasi”: 90, “Original”: “KRITIS” \$1  |  “Keparahan”: \$1 “Label”: “KRITIS”, “Dinormalisasi”: 90, “Original”: “KRITIS” \$1 Security Hub CSPM tidak lagi menggunakan bidang Produk untuk menggambarkan tingkat keparahan temuan.  | 
|  Tipe  |  ["Perangkat Lunak dan Konfigurasi Checks/Industry dan Standar Regulasi/PCI-DSS"]  |  ["Perangkat Lunak dan Konfigurasi Checks/Industry dan Standar Peraturan"] Bidang ini tidak lagi mereferensikan standar.  | 
|  Kepatuhan. RelatedRequirements  |  ["PCI DSS 10.5.2", “PCI DSS 11,5", “ AWS Yayasan CIS 2.5"]  |  ["PCI DSS v3.2.1/10.5.2", “PCI DSS v3.2.1/11.5", “Tolok Ukur AWS Yayasan CIS v1.2.0/2.5"] Bidang ini menunjukkan persyaratan terkait di semua standar yang diaktifkan.  | 
|  CreatedAt  |  2022-05-05T 08:18:13.138 Z  |  2022-09-25T 08:18:13.138 Z Format tetap sama, tetapi nilai disetel ulang saat Anda mengaktifkan temuan kontrol terkonsolidasi.  | 
|  FirstObservedAt  |  2022-05-07T 08:18:13.138 Z  | 2022-09-28T 08:18:13.138 Z Format tetap sama, tetapi nilai disetel ulang saat Anda mengaktifkan temuan kontrol terkonsolidasi.  | 
|  ProductFields.RecommendationUrl  |  https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation  |  Dihapus. Lihat `Remediation.Recommendation.Url` sebagai gantinya. | 
|  ProductFields.StandardsArn  |  arn:aws:securityhub::: /1.0.0 standards/aws-foundational-security-best-practices/v  |  Dihapus. Lihat `Compliance.AssociatedStandards` sebagai gantinya.  | 
|  ProductFields.StandardsControlArn  |  arn:aws:securityhub: us-timur- 1:123456789012: .1 control/aws-foundational-security-best-practices/v/1.0.0/Config  |  Dihapus. Security Hub CSPM menghasilkan satu temuan untuk pemeriksaan keamanan di seluruh standar.  | 
|  ProductFields.StandardsGuideArn  |  arn:aws:securityhub::: /1.2.0 ruleset/cis-aws-foundations-benchmark/v  |  Dihapus. Lihat `Compliance.AssociatedStandards` sebagai gantinya.  | 
|  ProductFields.StandardsGuideSubscriptionArn  |  arn:aws:securityhub: us-timur- 2:123456789012: /1.2.0 subscription/cis-aws-foundations-benchmark/v  |  Dihapus. Security Hub CSPM menghasilkan satu temuan untuk pemeriksaan keamanan di seluruh standar.  | 
|  ProductFields.StandardsSubscriptionArn  |  arn:aws:securityhub: us-timur- 1:123456789012: /1.0.0 subscription/aws-foundational-security-best-practices/v  |  Dihapus. Security Hub CSPM menghasilkan satu temuan untuk pemeriksaan keamanan di seluruh standar.  | 
|  ProductFields.aws/securityhub/FindingId  |  arn:aws:securityhub: us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding  |  arn:aws:securityhub: us-east-1:: /751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding  Bidang ini tidak lagi mereferensikan standar.  | 

### Nilai untuk bidang ASFF yang disediakan pelanggan setelah mengaktifkan temuan kontrol terkonsolidasi
<a name="consolidated-controls-view-customer-provided-values"></a>

Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub CSPM menghasilkan satu temuan di seluruh standar dan mengarsipkan temuan asli (temuan terpisah untuk setiap standar).

Pembaruan yang Anda buat untuk temuan asli dengan menggunakan konsol CSPM Security Hub atau [https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html)operasi tidak akan disimpan dalam temuan baru. Jika perlu, Anda dapat memulihkan data ini dengan merujuk pada temuan yang diarsipkan. **Untuk meninjau temuan yang diarsipkan, Anda dapat menggunakan halaman **Temuan** di konsol CSPM Security Hub dan menyetel filter **status Record** ke ARCHIVED.** Atau, Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian Security Hub CSPM API.


| Bidang ASFF yang disediakan pelanggan  | Deskripsi perubahan setelah memungkinkan temuan kontrol konsolidasi  | 
| --- | --- | 
|  Kepercayaan  |  Reset ke status kosong.  | 
|  Kekritisan  |  Reset ke status kosong.  | 
|  Catatan  |  Reset ke status kosong.  | 
|  RelatedFindings  |  Reset ke status kosong.  | 
|  Kepelikan  |  Tingkat keparahan default temuan (cocok dengan tingkat keparahan kontrol).  | 
|  Tipe  |  Reset ke nilai agnostik standar.  | 
|  UserDefinedFields  |  Reset ke status kosong.  | 
|  VerificationState  |  Reset ke status kosong.  | 
|  Alur kerja  |  Temuan baru yang gagal memiliki nilai defaultNEW. Temuan baru yang lulus memiliki nilai defaultRESOLVED.  | 

## Generator IDs sebelum dan sesudah memungkinkan temuan kontrol terkonsolidasi
<a name="securityhub-findings-format-changes-generator-ids"></a>

Tabel berikut mencantumkan perubahan nilai ID generator untuk kontrol saat Anda mengaktifkan temuan kontrol terkonsolidasi. Perubahan ini berlaku untuk kontrol yang didukung CSPM Security Hub per 15 Februari 2023.


| generatorId sebelum mengaktifkan temuan kontrol terkonsolidasi | generatorId setelah mengaktifkan temuan kontrol terkonsolidasi | 
| --- | --- | 
|  arn:aws:securityhub::: /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .1 CloudWatch  | 
|  arn:aws:securityhub::: /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.16  | 
|  arn:aws:securityhub::: /1.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.17  | 
|  arn:aws:securityhub::: /1.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.4  | 
|  arn:aws:securityhub::: /1.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.9  | 
|  arn:aws:securityhub::: /1.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.6  | 
|  arn:aws:securityhub::: /1.16 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.2  | 
|  arn:aws:securityhub::: /1.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.5  | 
|  arn:aws:securityhub::: /1.20 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.18  | 
|  arn:aws:securityhub::: /1.22 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.1  | 
|  arn:aws:securityhub::: /1.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.8  | 
|  arn:aws:securityhub::: /1.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.3  | 
|  arn:aws:securityhub::: /1.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.11  | 
|  arn:aws:securityhub::: /1.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.12  | 
|  arn:aws:securityhub::: /1.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.13  | 
|  arn:aws:securityhub::: /1.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.14  | 
|  arn:aws:securityhub::: /1.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/IAM.15  | 
|  arn:aws:securityhub::: /2.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .1 CloudTrail  | 
|  arn:aws:securityhub::: /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .4 CloudTrail  | 
|  arn:aws:securityhub::: /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .6 CloudTrail  | 
|  arn:aws:securityhub::: /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .5 CloudTrail  | 
|  arn:aws:securityhub::: /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/config.1  | 
|  arn:aws:securityhub::: /2.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .7 CloudTrail  | 
|  arn:aws:securityhub::: /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .2 CloudTrail  | 
|  arn:aws:securityhub::: /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/KMS.4  | 
|  arn:aws:securityhub::: /2.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/EC2.6  | 
|  arn:aws:securityhub::: /3.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .2 CloudWatch  | 
|  arn:aws:securityhub::: /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .3 CloudWatch  | 
|  arn:aws:securityhub::: /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .1 CloudWatch  | 
|  arn:aws:securityhub::: /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .4 CloudWatch  | 
|  arn:aws:securityhub::: /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .5 CloudWatch  | 
|  arn:aws:securityhub::: /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .6 CloudWatch  | 
|  arn:aws:securityhub::: /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .7 CloudWatch  | 
|  arn:aws:securityhub::: /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .8 CloudWatch  | 
|  arn:aws:securityhub::: /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .9 CloudWatch  | 
|  arn:aws:securityhub::: /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .10 CloudWatch  | 
|  arn:aws:securityhub::: /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .11 CloudWatch  | 
|  arn:aws:securityhub::: /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .12 CloudWatch  | 
|  arn:aws:securityhub::: /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .13 CloudWatch  | 
|  arn:aws:securityhub::: /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  kontrol keamanan/ .14 CloudWatch  | 
|  arn:aws:securityhub::: /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/EC2.13  | 
|  arn:aws:securityhub::: /4.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/EC2.14  | 
|  arn:aws:securityhub::: /4.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule  |  Kontrol keamanan/EC2.2  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.10  |  Kontrol keamanan/IAM.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.14  |  Kontrol keamanan/IAM.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.16  |  Kontrol keamanan/IAM.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.17  |  Kontrol keamanan/IAM.18  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.4  |  Kontrol keamanan/IAM.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.5  |  Kontrol keamanan/IAM.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.6  |  Kontrol keamanan/IAM.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.7  |  kontrol keamanan/ .1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.8  |  Kontrol keamanan/IAM.15  | 
|  cis-aws-foundations-benchmark/v/1.4.0/1.9  |  Kontrol keamanan/IAM.16  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.2  |  Kontrol keamanan/S3.5  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1  |  Kontrol keamanan/S3.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2  |  Kontrol keamanan/S3.8  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.2.1  |  Kontrol keamanan/EC2.7  | 
|  cis-aws-foundations-benchmark/v/1.4.0/2.3.1  |  Kontrol keamanan/RDS.3  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.1  |  kontrol keamanan/ .1 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.2  |  kontrol keamanan/ .4 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.4  |  kontrol keamanan/ .5 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.5  |  Kontrol keamanan/config.1  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.6  |  Kontrol keamanan/S3.9  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.7  |  kontrol keamanan/ .2 CloudTrail  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.8  |  Kontrol keamanan/KMS.4  | 
|  cis-aws-foundations-benchmark/v/1.4.0/3.9  |  Kontrol keamanan/EC2.6  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.3  |  kontrol keamanan/ .1 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.4  |  kontrol keamanan/ .4 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.5  |  kontrol keamanan/ .5 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.6  |  kontrol keamanan/ .6 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.7  |  kontrol keamanan/ .7 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.8  |  kontrol keamanan/ .8 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.9  |  kontrol keamanan/ .9 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.10  |  kontrol keamanan/ .10 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.11  |  kontrol keamanan/ .11 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.12  |  kontrol keamanan/ .12 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.13  |  kontrol keamanan/ .13 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/4.14  |  kontrol keamanan/ .14 CloudWatch  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.1  |  Kontrol keamanan/EC2.21  | 
|  cis-aws-foundations-benchmark/v/1.4.0/5.3  |  Kontrol keamanan/EC2.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Account .1  |  Kontrol keamanan/akun.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ACM .1  |  Kontrol keamanan/ACM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .1  |  kontrol keamanan/ .1 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .2  |  kontrol keamanan/ .2 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .3  |  kontrol keamanan/ .3 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .4  |  kontrol keamanan/ .4 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .5  |  kontrol keamanan/ .5 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .8  |  kontrol keamanan/ .8 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/APIGateway .9  |  kontrol keamanan/ .9 APIGateway  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling .1  |  kontrol keamanan/ .1 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling .2  |  kontrol keamanan/ .2 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling .3  |  kontrol keamanan/ .3 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/Autoscaling .5  |  Kontrol keamanan/penskalan.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling .6  |  kontrol keamanan/ .6 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/AutoScaling .9  |  kontrol keamanan/ .9 AutoScaling  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .1  |  kontrol keamanan/ .1 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .3  |  kontrol keamanan/ .3 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .4  |  kontrol keamanan/ .4 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .5  |  kontrol keamanan/ .5 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .6  |  kontrol keamanan/ .6 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .7  |  kontrol keamanan/ .7 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .8  |  kontrol keamanan/ .8 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .9  |  kontrol keamanan/ .9 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .10  |  kontrol keamanan/ .10 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudFront .12  |  kontrol keamanan/ .12 CloudFront  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail .1  |  kontrol keamanan/ .1 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail .2  |  kontrol keamanan/ .2 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail .4  |  kontrol keamanan/ .4 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CloudTrail .5  |  kontrol keamanan/ .5 CloudTrail  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild .1  |  kontrol keamanan/ .1 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild .2  |  kontrol keamanan/ .2 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild .3  |  kontrol keamanan/ .3 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/CodeBuild .4  |  kontrol keamanan/ .4 CodeBuild  | 
|  aws-foundational-security-best- practices/v/1.0.0/Config .1  |  Kontrol keamanan/config.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DMS .1  |  Kontrol keamanan/DMS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB .1  |  Kontrol keamanan/DynamoDB.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB .2  |  Kontrol keamanan/DynamoDB.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/DynamoDB .3  |  Kontrol keamanan/DynamoDB.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.1  |  Kontrol keamanan/EC2.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.3  |  Kontrol keamanan/EC2.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,4  |  Kontrol keamanan/EC2.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.6  |  Kontrol keamanan/EC2.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,7  |  Kontrol keamanan/EC2.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,8  |  Kontrol keamanan/EC2.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,9  |  Kontrol keamanan/EC2.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.10  |  Kontrol keamanan/EC2.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.15  |  Kontrol keamanan/EC2.15  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.16  |  Kontrol keamanan/EC2.16  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.17  |  Kontrol keamanan/EC2.17  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.18  |  Kontrol keamanan/EC2.18  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.19  |  Kontrol keamanan/EC2.19  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.2  |  Kontrol keamanan/EC2.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2.20  |  Kontrol keamanan/EC2.20  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,21  |  Kontrol keamanan/EC2.21  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,23  |  Kontrol keamanan/EC2.23  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,24  |  Kontrol keamanan/EC2.24  | 
|  aws-foundational-security-best- practices/v/1.0.0/EC 2,25  |  Kontrol keamanan/EC2.25  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECR .1  |  Kontrol keamanan/ECR.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECR .2  |  Kontrol keamanan/ECR.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECR .3  |  Kontrol keamanan/ECR.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .1  |  Kontrol keamanan/ECS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .10  |  Kontrol keamanan/ECS.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .12  |  Kontrol keamanan/ECS.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .2  |  Kontrol keamanan/ECS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .3  |  Kontrol keamanan/ECS.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .4  |  Kontrol keamanan/ECS.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .5  |  Kontrol keamanan/ECS.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/ECS .8  |  Kontrol keamanan/ECS.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS .1  |  Kontrol keamanan/EFS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS .2  |  Kontrol keamanan/EFS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS .3  |  Kontrol keamanan/EFS.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/EFS .4  |  Kontrol keamanan/EFS.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/EKS .2  |  Kontrol keamanan/EKS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk .1  |  kontrol keamanan/ .1 ElasticBeanstalk  | 
|  aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk .2  |  kontrol keamanan/ .2 ElasticBeanstalk  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELBv 2.1  |  Kontrol keamanan/ELB.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .2  |  Kontrol keamanan/ELB.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .3  |  Kontrol keamanan/ELB.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .4  |  Kontrol keamanan/ELB.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .5  |  Kontrol keamanan/ELB.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .6  |  Kontrol keamanan/ELB.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .7  |  Kontrol keamanan/ELB.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .8  |  Kontrol keamanan/ELB.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .9  |  Kontrol keamanan/ELB.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .10  |  Kontrol keamanan/ELB.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .11  |  Kontrol keamanan/ELB.11  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .12  |  Kontrol keamanan/ELB.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .13  |  Kontrol keamanan/ELB.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/ELB .14  |  Kontrol keamanan/ELB.14  | 
|  aws-foundational-security-best- practices/v/1.0.0/EMR .1  |  Kontrol keamanan/EMR.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .1  |  Kontrol keamanan/ES.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .2  |  Kontrol keamanan/ES.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .3  |  Kontrol keamanan/ES.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .4  |  Kontrol keamanan/ES.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .5  |  Kontrol keamanan/ES.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .6  |  Kontrol keamanan/ES.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .7  |  Kontrol keamanan/ES.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/ES .8  |  Kontrol keamanan/ES.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/GuardDuty .1  |  kontrol keamanan/ .1 GuardDuty  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .1  |  Kontrol keamanan/IAM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .2  |  Kontrol keamanan/IAM.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .21  |  Kontrol keamanan/IAM.21  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .3  |  Kontrol keamanan/IAM.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .4  |  Kontrol keamanan/IAM.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .5  |  Kontrol keamanan/IAM.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .6  |  Kontrol keamanan/IAM.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .7  |  Kontrol keamanan/IAM.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/IAM .8  |  Kontrol keamanan/IAM.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/Kinesis .1  |  Kontrol keamanan/kinesis.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS .1  |  Kontrol keamanan/KMS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS .2  |  Kontrol keamanan/KMS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/KMS .3  |  Kontrol keamanan/KMS.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/Lambda .1  |  Kontrol keamanan/Lambda.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Lambda .2  |  Kontrol keamanan/Lambda.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Lambda .5  |  Kontrol keamanan/Lambda.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall .3  |  kontrol keamanan/ .3 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall .4  |  kontrol keamanan/ .4 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall .5  |  kontrol keamanan/ .5 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall .6  |  kontrol keamanan/ .6 NetworkFirewall  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .1  |  Kontrol keamanan/OpenSearch.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .2  |  Kontrol keamanan/OpenSearch.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .3  |  Kontrol keamanan/OpenSearch.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .4  |  Kontrol keamanan/OpenSearch.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .5  |  Kontrol keamanan/OpenSearch.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .6  |  Kontrol keamanan/OpenSearch.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .7  |  Kontrol keamanan/OpenSearch.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/Opensearch .8  |  Kontrol keamanan/OpenSearch.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .1  |  Kontrol keamanan/RDS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .10  |  Kontrol keamanan/RDS.10  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .11  |  Kontrol keamanan/RDS.11  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .12  |  Kontrol keamanan/RDS.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .13  |  Kontrol keamanan/RDS.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .14  |  Kontrol keamanan/RDS.14  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .15  |  Kontrol keamanan/RDS.15  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .16  |  Kontrol keamanan/RDS.16  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .17  |  Kontrol keamanan/RDS.17  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .19  |  Kontrol keamanan/RDS.19  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .2  |  Kontrol keamanan/RDS.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .20  |  Kontrol keamanan/RDS.20  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .21  |  Kontrol keamanan/RDS.21  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .22  |  Kontrol keamanan/RDS.22  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .23  |  Kontrol keamanan/RDS.23  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .24  |  Kontrol keamanan/RDS.24  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .25  |  Kontrol keamanan/RDS.25  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .3  |  Kontrol keamanan/RDS.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .4  |  Kontrol keamanan/RDS.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .5  |  Kontrol keamanan/RDS.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .6  |  Kontrol keamanan/RDS.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .7  |  Kontrol keamanan/RDS.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .8  |  Kontrol keamanan/RDS.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/RDS .9  |  Kontrol keamanan/RDS.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .1  |  Kontrol keamanan/pergeseran merah.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .2  |  Kontrol keamanan/pergeseran merah.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .3  |  Kontrol keamanan/pergeseran merah.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .4  |  Kontrol keamanan/Redshift.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .6  |  Kontrol keamanan/pergeseran merah.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .7  |  Kontrol keamanan/pergeseran merah.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .8  |  Kontrol keamanan/pergeseran merah.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/Redshift .9  |  Kontrol keamanan/pergeseran merah.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.1  |  Kontrol keamanan/S3.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.12  |  Kontrol keamanan/S3.12  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.13  |  Kontrol keamanan/S3.13  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3.2  |  Kontrol keamanan/S3.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,3  |  Kontrol keamanan/S3.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,5  |  Kontrol keamanan/S3.5  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,6  |  Kontrol keamanan/S3.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,8  |  Kontrol keamanan/S3.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/S 3,9  |  Kontrol keamanan/S3.9  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker .1  |  kontrol keamanan/ .1 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker .2  |  kontrol keamanan/ .2 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SageMaker .3  |  kontrol keamanan/ .3 SageMaker  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager .1  |  kontrol keamanan/ .1 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager .2  |  kontrol keamanan/ .2 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager .3  |  kontrol keamanan/ .3 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SecretsManager .4  |  kontrol keamanan/ .4 SecretsManager  | 
|  aws-foundational-security-best- practices/v/1.0.0/SQS .1  |  Kontrol keamanan/SQS.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM .1  |  Kontrol keamanan/SSM.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM .2  |  Kontrol keamanan/SSM.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM .3  |  Kontrol keamanan/SSM.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/SSM .4  |  Kontrol keamanan/SSM.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .1  |  Kontrol keamanan/WAF.1  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .2  |  Kontrol keamanan/WAF.2  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .3  |  Kontrol keamanan/WAF.3  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .4  |  Kontrol keamanan/WAF.4  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .6  |  Kontrol keamanan/WAF.6  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .7  |  Kontrol keamanan/WAF.7  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .8  |  Kontrol keamanan/WAF.8  | 
|  aws-foundational-security-best- practices/v/1.0.0/WAF .10  |  Kontrol keamanan/WAF.10  | 
|  pci-dss/v/3.2.1/PCI. AutoScaling.1  |  kontrol keamanan/ .1 AutoScaling  | 
|  pci-dss/v/3.2.1/PCI. CloudTrail.1  |  kontrol keamanan/ .2 CloudTrail  | 
|  pci-dss/v/3.2.1/PCI. CloudTrail.2  |  kontrol keamanan/ .3 CloudTrail  | 
|  pci-dss/v/3.2.1/PCI. CloudTrail.3  |  kontrol keamanan/ .4 CloudTrail  | 
|  pci-dss/v/3.2.1/PCI. CloudTrail.4  |  kontrol keamanan/ .5 CloudTrail  | 
|  pci-dss/v/3.2.1/PCI. CodeBuild.1  |  kontrol keamanan/ .1 CodeBuild  | 
|  pci-dss/v/3.2.1/PCI. CodeBuild.2  |  kontrol keamanan/ .2 CodeBuild  | 
|  pci- dss/v/3.2.1/PCI .config.1  |  Kontrol keamanan/config.1  | 
|  pci- dss/v/3.2.1/PCI .CW.1  |  kontrol keamanan/ .1 CloudWatch  | 
|  pci- dss/v/3.2.1/PCI .DMS.1  |  Kontrol keamanan/DMS.1  | 
|  pci- dss/v/3.2.1/PCI .EC2.1  |  Kontrol keamanan/EC2.1  | 
|  pci- dss/v/3.2.1/PCI .EC2.2  |  Kontrol keamanan/EC2.2  | 
|  pci- dss/v/3.2.1/PCI .EC2.4  |  Kontrol keamanan/EC2.12  | 
|  pci- dss/v/3.2.1/PCI .EC2.5  |  Kontrol keamanan/EC2.13  | 
|  pci- dss/v/3.2.1/PCI .EC2.6  |  Kontrol keamanan/EC2.6  | 
|  pci-dss/v/3.2.1/PCI. ELBv2.1  |  Kontrol keamanan/ELB.1  | 
|  pci- dss/v/3.2.1/PCI .ES1  |  Kontrol keamanan/ES.2  | 
|  pci- dss/v/3.2.1/PCI .ES2  |  Kontrol keamanan/ES.1  | 
|  pci-dss/v/3.2.1/PCI. GuardDuty.1  |  kontrol keamanan/ .1 GuardDuty  | 
|  pci- dss/v/3.2.1/PCI .IAM.1  |  Kontrol keamanan/IAM.4  | 
|  pci- dss/v/3.2.1/PCI .IAM.2  |  Kontrol keamanan/IAM.2  | 
|  pci- dss/v/3.2.1/PCI .IAM.3  |  Kontrol keamanan/IAM.1  | 
|  pci- dss/v/3.2.1/PCI .IAM.4  |  Kontrol keamanan/IAM.6  | 
|  pci- dss/v/3.2.1/PCI .IAM.5  |  Kontrol keamanan/IAM.9  | 
|  pci- dss/v/3.2.1/PCI .IAM.6  |  Kontrol keamanan/IAM.19  | 
|  pci- dss/v/3.2.1/PCI .IAM.7  |  Kontrol keamanan/IAM.8  | 
|  pci- dss/v/3.2.1/PCI .IAM.8  |  Kontrol keamanan/IAM.10  | 
|  pci- dss/v/3.2.1/PCI .KMS.1  |  Kontrol keamanan/KMS.4  | 
|  pci- dss/v/3.2.1/PCI .Lambda.1  |  Kontrol keamanan/Lambda.1  | 
|  pci- dss/v/3.2.1/PCI .Lambda.2  |  Kontrol keamanan/Lambda.3  | 
|  pci- dss/v/3.2.1/PCI .Opensearch.1  |  Kontrol keamanan/OpenSearch.2  | 
|  pci- dss/v/3.2.1/PCI .Opensearch.2  |  Kontrol keamanan/OpenSearch.1  | 
|  pci- dss/v/3.2.1/PCI .RDS.1  |  Kontrol keamanan/RDS.1  | 
|  pci- dss/v/3.2.1/PCI .RDS.2  |  Kontrol keamanan/RDS.2  | 
|  pci- dss/v/3.2.1/PCI .Redshift.1  |  Kontrol keamanan/pergeseran merah.1  | 
|  pci- dss/v/3.2.1/PCI .S3.1  |  Kontrol keamanan/S3.3  | 
|  pci- dss/v/3.2.1/PCI .S3.2  |  Kontrol keamanan/S3.2  | 
|  pci- dss/v/3.2.1/PCI .S3.3  |  Kontrol keamanan/S3.7  | 
|  pci- dss/v/3.2.1/PCI .S3.5  |  Kontrol keamanan/S3.5  | 
|  pci- dss/v/3.2.1/PCI .S3.6  |  Kontrol keamanan/S3.1  | 
|  pci-dss/v/3.2.1/PCI. SageMaker.1  |  kontrol keamanan/ .1 SageMaker  | 
|  pci- dss/v/3.2.1/PCI .SSM.1  |  Kontrol keamanan/SSM.2  | 
|  pci- dss/v/3.2.1/PCI .SSM.2  |  Kontrol keamanan/SSM.3  | 
|  pci- dss/v/3.2.1/PCI .SSM.3  |  Kontrol keamanan/SSM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ACM .1  |  Kontrol keamanan/ACM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway .1  |  kontrol keamanan/ .1 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway .2  |  kontrol keamanan/ .2 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway .3  |  kontrol keamanan/ .3 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway .4  |  kontrol keamanan/ .4 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/APIGateway .5  |  kontrol keamanan/ .5 APIGateway  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .1  |  kontrol keamanan/ .1 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .2  |  kontrol keamanan/ .2 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .3  |  kontrol keamanan/ .3 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .4  |  kontrol keamanan/ .4 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/Autoscaling .5  |  Kontrol keamanan/penskalan.5  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .6  |  kontrol keamanan/ .6 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/AutoScaling .9  |  kontrol keamanan/ .9 AutoScaling  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail .1  |  kontrol keamanan/ .1 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail .2  |  kontrol keamanan/ .2 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail .4  |  kontrol keamanan/ .4 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CloudTrail .5  |  kontrol keamanan/ .5 CloudTrail  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild .1  |  kontrol keamanan/ .1 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild .2  |  kontrol keamanan/ .2 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild .4  |  kontrol keamanan/ .4 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/CodeBuild .5  |  kontrol keamanan/ .5 CodeBuild  | 
|  service-managed-aws-control- tower/v/1.0.0/DMS .1  |  Kontrol keamanan/DMS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/DynamoDB .1  |  Kontrol keamanan/DynamoDB.1  | 
|  service-managed-aws-control- tower/v/1.0.0/DynamoDB .2  |  Kontrol keamanan/DynamoDB.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.1  |  Kontrol keamanan/EC2.1  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.2  |  Kontrol keamanan/EC2.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.3  |  Kontrol keamanan/EC2.3  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,4  |  Kontrol keamanan/EC2.4  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.6  |  Kontrol keamanan/EC2.6  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,7  |  Kontrol keamanan/EC2.7  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,8  |  Kontrol keamanan/EC2.8  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,9  |  Kontrol keamanan/EC2.9  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.10  |  Kontrol keamanan/EC2.10  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.15  |  Kontrol keamanan/EC2.15  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.16  |  Kontrol keamanan/EC2.16  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.17  |  Kontrol keamanan/EC2.17  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.18  |  Kontrol keamanan/EC2.18  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.19  |  Kontrol keamanan/EC2.19  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2.20  |  Kontrol keamanan/EC2.20  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,21  |  Kontrol keamanan/EC2.21  | 
|  service-managed-aws-control- tower/v/1.0.0/EC 2,22  |  Kontrol keamanan/EC2.22  | 
|  service-managed-aws-control- tower/v/1.0.0/ECR .1  |  Kontrol keamanan/ECR.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ECR .2  |  Kontrol keamanan/ECR.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ECR .3  |  Kontrol keamanan/ECR.3  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .1  |  Kontrol keamanan/ECS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .2  |  Kontrol keamanan/ECS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .3  |  Kontrol keamanan/ECS.3  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .4  |  Kontrol keamanan/ECS.4  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .5  |  Kontrol keamanan/ECS.5  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .8  |  Kontrol keamanan/ECS.8  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .10  |  Kontrol keamanan/ECS.10  | 
|  service-managed-aws-control- tower/v/1.0.0/ECS .12  |  Kontrol keamanan/ECS.12  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS .1  |  Kontrol keamanan/EFS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS .2  |  Kontrol keamanan/EFS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS .3  |  Kontrol keamanan/EFS.3  | 
|  service-managed-aws-control- tower/v/1.0.0/EFS .4  |  Kontrol keamanan/EFS.4  | 
|  service-managed-aws-control- tower/v/1.0.0/EKS .2  |  Kontrol keamanan/EKS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .2  |  Kontrol keamanan/ELB.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .3  |  Kontrol keamanan/ELB.3  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .4  |  Kontrol keamanan/ELB.4  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .5  |  Kontrol keamanan/ELB.5  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .6  |  Kontrol keamanan/ELB.6  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .7  |  Kontrol keamanan/ELB.7  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .8  |  Kontrol keamanan/ELB.8  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .9  |  Kontrol keamanan/ELB.9  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .10  |  Kontrol keamanan/ELB.10  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .12  |  Kontrol keamanan/ELB.12  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .13  |  Kontrol keamanan/ELB.13  | 
|  service-managed-aws-control- tower/v/1.0.0/ELB .14  |  Kontrol keamanan/ELB.14  | 
|  service-managed-aws-control- tower/v/1.0.0/ELBv 2.1  |  kontrol keamanan/ .1 ELBv2  | 
|  service-managed-aws-control- tower/v/1.0.0/EMR .1  |  Kontrol keamanan/EMR.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .1  |  Kontrol keamanan/ES.1  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .2  |  Kontrol keamanan/ES.2  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .3  |  Kontrol keamanan/ES.3  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .4  |  Kontrol keamanan/ES.4  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .5  |  Kontrol keamanan/ES.5  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .6  |  Kontrol keamanan/ES.6  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .7  |  Kontrol keamanan/ES.7  | 
|  service-managed-aws-control- tower/v/1.0.0/ES .8  |  Kontrol keamanan/ES.8  | 
|  service-managed-aws-control- tower/v/1.0.0/ElasticBeanstalk .1  |  kontrol keamanan/ .1 ElasticBeanstalk  | 
|  service-managed-aws-control- tower/v/1.0.0/ElasticBeanstalk .2  |  kontrol keamanan/ .2 ElasticBeanstalk  | 
|  service-managed-aws-control- tower/v/1.0.0/GuardDuty .1  |  kontrol keamanan/ .1 GuardDuty  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .1  |  Kontrol keamanan/IAM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .2  |  Kontrol keamanan/IAM.2  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .3  |  Kontrol keamanan/IAM.3  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .4  |  Kontrol keamanan/IAM.4  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .5  |  Kontrol keamanan/IAM.5  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .6  |  Kontrol keamanan/IAM.6  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .7  |  Kontrol keamanan/IAM.7  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .8  |  Kontrol keamanan/IAM.8  | 
|  service-managed-aws-control- tower/v/1.0.0/IAM .21  |  Kontrol keamanan/IAM.21  | 
|  service-managed-aws-control- tower/v/1.0.0/Kinesis .1  |  Kontrol keamanan/kinesis.1  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS .1  |  Kontrol keamanan/KMS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS .2  |  Kontrol keamanan/KMS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/KMS .3  |  Kontrol keamanan/KMS.3  | 
|  service-managed-aws-control- tower/v/1.0.0/Lambda .1  |  Kontrol keamanan/Lambda.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Lambda .2  |  Kontrol keamanan/Lambda.2  | 
|  service-managed-aws-control- tower/v/1.0.0/Lambda .5  |  Kontrol keamanan/Lambda.5  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall .3  |  kontrol keamanan/ .3 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall .4  |  kontrol keamanan/ .4 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall .5  |  kontrol keamanan/ .5 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/NetworkFirewall .6  |  kontrol keamanan/ .6 NetworkFirewall  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .1  |  Kontrol keamanan/OpenSearch.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .2  |  Kontrol keamanan/OpenSearch.2  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .3  |  Kontrol keamanan/OpenSearch.3  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .4  |  Kontrol keamanan/OpenSearch.4  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .5  |  Kontrol keamanan/OpenSearch.5  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .6  |  Kontrol keamanan/OpenSearch.6  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .7  |  Kontrol keamanan/OpenSearch.7  | 
|  service-managed-aws-control- tower/v/1.0.0/Opensearch .8  |  Kontrol keamanan/OpenSearch.8  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .1  |  Kontrol keamanan/RDS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .2  |  Kontrol keamanan/RDS.2  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .3  |  Kontrol keamanan/RDS.3  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .4  |  Kontrol keamanan/RDS.4  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .5  |  Kontrol keamanan/RDS.5  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .6  |  Kontrol keamanan/RDS.6  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .8  |  Kontrol keamanan/RDS.8  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .9  |  Kontrol keamanan/RDS.9  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .10  |  Kontrol keamanan/RDS.10  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .11  |  Kontrol keamanan/RDS.11  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .13  |  Kontrol keamanan/RDS.13  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .17  |  Kontrol keamanan/RDS.17  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .18  |  Kontrol keamanan/RDS.18  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .19  |  Kontrol keamanan/RDS.19  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .20  |  Kontrol keamanan/RDS.20  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .21  |  Kontrol keamanan/RDS.21  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .22  |  Kontrol keamanan/RDS.22  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .23  |  Kontrol keamanan/RDS.23  | 
|  service-managed-aws-control- tower/v/1.0.0/RDS .25  |  Kontrol keamanan/RDS.25  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .1  |  Kontrol keamanan/pergeseran merah.1  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .2  |  Kontrol keamanan/pergeseran merah.2  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .4  |  Kontrol keamanan/Redshift.4  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .6  |  Kontrol keamanan/pergeseran merah.6  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .7  |  Kontrol keamanan/pergeseran merah.7  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .8  |  Kontrol keamanan/pergeseran merah.8  | 
|  service-managed-aws-control- tower/v/1.0.0/Redshift .9  |  Kontrol keamanan/pergeseran merah.9  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.1  |  Kontrol keamanan/S3.1  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.2  |  Kontrol keamanan/S3.2  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,3  |  Kontrol keamanan/S3.3  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,5  |  Kontrol keamanan/S3.5  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,6  |  Kontrol keamanan/S3.6  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,8  |  Kontrol keamanan/S3.8  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3,9  |  Kontrol keamanan/S3.9  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.12  |  Kontrol keamanan/S3.12  | 
|  service-managed-aws-control- tower/v/1.0.0/S 3.13  |  Kontrol keamanan/S3.13  | 
|  service-managed-aws-control- tower/v/1.0.0/SageMaker .1  |  kontrol keamanan/ .1 SageMaker  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager .1  |  kontrol keamanan/ .1 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager .2  |  kontrol keamanan/ .2 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager .3  |  kontrol keamanan/ .3 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SecretsManager .4  |  kontrol keamanan/ .4 SecretsManager  | 
|  service-managed-aws-control- tower/v/1.0.0/SQS .1  |  Kontrol keamanan/SQS.1  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM .1  |  Kontrol keamanan/SSM.1  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM .2  |  Kontrol keamanan/SSM.2  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM .3  |  Kontrol keamanan/SSM.3  | 
|  service-managed-aws-control- tower/v/1.0.0/SSM .4  |  Kontrol keamanan/SSM.4  | 
|  service-managed-aws-control- tower/v/1.0.0/WAF .2  |  Kontrol keamanan/WAF.2  | 
|  service-managed-aws-control- tower/v/1.0.0/WAF .3  |  Kontrol keamanan/WAF.3  | 
|  service-managed-aws-control- tower/v/1.0.0/WAF .4  |  Kontrol keamanan/WAF.4  | 

## Bagaimana konsolidasi berdampak pada kontrol IDs dan judul
<a name="securityhub-findings-format-changes-ids-titles"></a>

Tampilan kontrol terkonsolidasi dan temuan kontrol terkonsolidasi menstandarisasi kontrol IDs dan judul di seluruh standar. Istilah *ID kontrol keamanan* dan *judul kontrol keamanan* mengacu pada nilai agnostik standar ini.

Konsol CSPM Security Hub menampilkan kontrol keamanan agnostik standar IDs dan judul kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan untuk akun Anda. Namun, temuan CSPM Security Hub berisi judul kontrol khusus standar, untuk PCI DSS dan CIS v1.2.0, jika temuan kontrol konsolidasi dinonaktifkan untuk akun Anda. Selain itu, temuan CSPM Security Hub berisi ID kontrol khusus standar dan ID kontrol keamanan. Untuk contoh bagaimana konsolidasi berdampak pada temuan kontrol, lihat[Sampel temuan kontrol](sample-control-findings.md).

Untuk kontrol yang merupakan bagian dari [standar yang AWS Control Tower dikelola layanan](service-managed-standard-aws-control-tower.md), awalan `CT.` dihapus dari ID kontrol dan judul dalam temuan saat temuan kontrol terkonsolidasi diaktifkan.

Untuk menonaktifkan kontrol keamanan di Security Hub CSPM, Anda harus menonaktifkan semua kontrol standar yang sesuai dengan kontrol keamanan. Tabel berikut menunjukkan pemetaan kontrol keamanan IDs dan judul ke kontrol dan judul khusus standar. IDs IDs dan judul untuk kontrol yang termasuk dalam standar Praktik Terbaik Keamanan AWS Dasar (FSBP) sudah agnostik standar. Untuk pemetaan kontrol ke persyaratan Center for Internet Security (CIS) v3.0.0, lihat. [Pemetaan kontrol ke persyaratan CIS di setiap versi](cis-aws-foundations-benchmark.md#cis-version-comparison) Untuk menjalankan skrip Anda sendiri di tabel ini, Anda dapat [mengunduhnya sebagai file.csv.](samples/Consolidation_ID_Title_Changes.csv.zip)


| Standar | ID kontrol standar dan judul | ID dan judul kontrol keamanan | 
| --- | --- | --- | 
|  CIS v1.2.0  |  1.1 Hindari penggunaan pengguna root  |  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  1.10 Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi  |  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)  | 
|  CIS v1.2.0  |  1.11 Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang  |  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)  | 
|  CIS v1.2.0  |  1.12 Pastikan tidak ada kunci akses pengguna root  |  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)  | 
|  CIS v1.2.0  |  1.13 Pastikan MFA diaktifkan untuk pengguna root  |  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  | 
|  CIS v1.2.0  |  1.14 Pastikan MFA perangkat keras diaktifkan untuk pengguna root  |  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)  | 
|  CIS v1.2.0  |  1.16 Pastikan kebijakan IAM hanya dilampirkan pada grup atau peran  |  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)  | 
|  CIS v1.2.0  |  1.2 Pastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol  |  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)  | 
|  CIS v1.2.0  |  1.20 Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan  |  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)  | 
|  CIS v1.2.0  |  1.22 Pastikan kebijakan IAM yang memungkinkan hak administratif “\$1: \$1” penuh tidak dibuat  |  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)  | 
|  CIS v1.2.0  |  1.3 Pastikan kredensil yang tidak digunakan selama 90 hari atau lebih dinonaktifkan  |  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)  | 
|  CIS v1.2.0  |  1.4 Pastikan kunci akses diputar setiap 90 hari atau kurang  |  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)  | 
|  CIS v1.2.0  |  1.5 Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar  |  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)  | 
|  CIS v1.2.0  |  1.6 Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil  |  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)  | 
|  CIS v1.2.0  |  1.7 Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol  |  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)  | 
|  CIS v1.2.0  |  1.8 Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor  |  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)  | 
|  CIS v1.2.0  |  1.9 Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih  |  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)  | 
|  CIS v1.2.0  |  2.1 Pastikan CloudTrail diaktifkan di semua wilayah  |  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.2.0  |  2.2 Pastikan validasi file CloudTrail log diaktifkan  |  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.2.0  |  2.3 Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik  |  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6)  | 
|  CIS v1.2.0  |  2.4 Pastikan CloudTrail jalur terintegrasi dengan Log CloudWatch   |  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.2.0  |  2.5 Pastikan AWS Config diaktifkan  |  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | 
|  CIS v1.2.0  |  2.6 Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3  |  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.2.0  |  2.7 Pastikan CloudTrail log dienkripsi saat istirahat menggunakan KMS CMKs  |  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.2.0  |  2.8 Pastikan rotasi untuk pelanggan yang dibuat CMKs diaktifkan  |  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)  | 
|  CIS v1.2.0  |  2.9 Pastikan pencatatan aliran VPC diaktifkan di semua VPCs  |  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.2.0  |  3.1 Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah  |  [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)  | 
|  CIS v1.2.0  |  3.10 Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan  |  [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.2.0  |  3.11 Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)  |  [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.2.0  |  3.12 Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan  |  [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.2.0  |  3.13 Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute  |  [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.2.0  |  3.14 Pastikan filter metrik log dan alarm ada untuk perubahan VPC  |  [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.2.0  |  3.2 Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA  |  [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3)  | 
|  CIS v1.2.0  |  3.3 Pastikan filter metrik log dan alarm ada untuk penggunaan pengguna root  |  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.2.0  |  3.4 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM  |  [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.2.0  |  3.5 Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi  |  [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.2.0  |  3.6 Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi  |  [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.2.0  |  3.7 Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs  |  [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.2.0  |  3.8 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3  |  [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.2.0  |  3.9 Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi  |  [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.2.0  |  4.1 Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 22  |  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | 
|  CIS v1.2.0  |  4.2 Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 3389  |  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  | 
|  CIS v1.2.0  |  4.3 Pastikan grup keamanan default dari setiap VPC membatasi semua lalu lintas  |  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  | 
|  CIS v1.4.0  |  1.10 Pastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol  |  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)  | 
|  CIS v1.4.0  |  1.14 Pastikan kunci akses diputar setiap 90 hari atau kurang  |  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)  | 
|  CIS v1.4.0  |  1.16 Pastikan kebijakan IAM yang memungkinkan hak administratif “\$1: \$1” penuh tidak dilampirkan  |  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)  | 
|  CIS v1.4.0  |  1.17 Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan  |  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)  | 
|  CIS v1.4.0  |  1.4 Pastikan tidak ada kunci akses akun pengguna root  |  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)  | 
|  CIS v1.4.0  |  1.5 Pastikan MFA diaktifkan untuk akun pengguna root  |  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  | 
|  CIS v1.4.0  |  1.6 Pastikan MFA perangkat keras diaktifkan untuk akun pengguna root  |  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)  | 
|  CIS v1.4.0  |  1.7 Hilangkan penggunaan pengguna root untuk tugas administratif dan harian  |  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  CIS v1.4.0  |  1.8 Pastikan kebijakan kata sandi IAM membutuhkan panjang minimum 14 atau lebih  |  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)  | 
|  CIS v1.4.0  |  1.9 Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi  |  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)  | 
|  CIS v1.4.0  |  2.1.2 Pastikan Kebijakan Bucket S3 disetel untuk menolak permintaan HTTP  |  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  | 
|  CIS v1.4.0  |  2.1.5.1 Pengaturan Akses Publik Blok S3 harus diaktifkan  |  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  | 
|  CIS v1.4.0  |  2.1.5.2 Pengaturan Akses Publik Blok S3 harus diaktifkan pada tingkat bucket  |  [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)  | 
|  CIS v1.4.0  |  2.2.1 Pastikan enkripsi volume EBS diaktifkan  |  [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)  | 
|  CIS v1.4.0  |  2.3.1 Pastikan enkripsi diaktifkan untuk Instans RDS  |  [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)  | 
|  CIS v1.4.0  |  3.1 Pastikan CloudTrail diaktifkan di semua wilayah  |  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  | 
|  CIS v1.4.0  |  3.2 Pastikan validasi file CloudTrail log diaktifkan  |  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)  | 
|  CIS v1.4.0  |  3.4 Pastikan CloudTrail jalur terintegrasi dengan Log CloudWatch   |  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  CIS v1.4.0  |  3.5 Pastikan AWS Config diaktifkan di semua wilayah  |  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | 
|  CIS v1.4.0  |  3.6 Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3  |  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  | 
|  CIS v1.4.0  |  3.7 Pastikan CloudTrail log dienkripsi saat istirahat menggunakan KMS CMKs  |  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)  | 
|  CIS v1.4.0  |  3.8 Pastikan rotasi untuk pelanggan yang dibuat CMKs diaktifkan  |  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)  | 
|  CIS v1.4.0  |  3.9 Pastikan pencatatan aliran VPC diaktifkan di semua VPCs  |  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)  | 
|  CIS v1.4.0  |  4.4 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM  |  [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)  | 
|  CIS v1.4.0  |  4.5 Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi  |  [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)  | 
|  CIS v1.4.0  |  4.6 Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi  |  [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)  | 
|  CIS v1.4.0  |  4.7 Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs  |  [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)  | 
|  CIS v1.4.0  |  4.8 Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3  |  [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)  | 
|  CIS v1.4.0  |  4.9 Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi  |  [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)  | 
|  CIS v1.4.0  |  4.10 Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan  |  [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)  | 
|  CIS v1.4.0  |  4.11 Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)  |  [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)  | 
|  CIS v1.4.0  |  4.12 Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan  |  [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)  | 
|  CIS v1.4.0  |  4.13 Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute  |  [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)  | 
|  CIS v1.4.0  |  4.14 Pastikan filter metrik log dan alarm ada untuk perubahan VPC  |  [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)  | 
|  CIS v1.4.0  |  5.1 Pastikan tidak ada Jaringan yang ACLs mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh  |  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)  | 
|  CIS v1.4.0  |  5.3 Pastikan grup keamanan default dari setiap VPC membatasi semua lalu lintas  |  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI. AutoScaling.1 Grup penskalaan otomatis yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan penyeimbang beban  |  [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.1 CloudTrail log harus dienkripsi saat istirahat menggunakan AWS KMS CMKs  |  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.2 CloudTrail harus diaktifkan  |  [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.3 validasi file CloudTrail log harus diaktifkan  |  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)  | 
|  PCI DSS v3.2.1  |  PCI. CloudTrail.4 CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch   |  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.1 CodeBuild GitHub atau repositori sumber Bitbucket harus digunakan URLs OAuth  |  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1)  | 
|  PCI DSS v3.2.1  |  PCI. CodeBuild.2 variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas  |  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2)  | 
|  PCI DSS v3.2.1  |  PCI.config.1 harus diaktifkan AWS Config   |  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  | 
|  PCI DSS v3.2.1  |  PCI.CW.1 Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”  |  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  | 
|  PCI DSS v3.2.1  |  Instans replikasi Layanan Migrasi Database PCI.DMS.1 tidak boleh bersifat publik  |  [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1)  | 
|  PCI DSS v3.2.1  |  Snapshot PCI.EC2.1 EBS tidak boleh dipulihkan secara publik  |  [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1)  | 
|  PCI DSS v3.2.1  |  Grup keamanan default PCI.EC2.2 VPC harus melarang lalu lintas masuk dan keluar  |  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.4 EC2 yang tidak terpakai harus dihapus EIPs   |  [[EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs](ec2-controls.md#ec2-12)  | 
|  PCI DSS v3.2.1  |  PCI.EC2.5 Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port 22  |  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  | 
|  PCI DSS v3.2.1  |  Pencatatan aliran VPC PCI.EC2.6 harus diaktifkan di semua VPCs  |  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)  | 
|  PCI DSS v3.2.1  |  PCI. ELBv2.1 Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS  |  [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1)  | 
|  PCI DSS v3.2.1  |  Domain PCI.ES.1 Elasticsearch harus dalam VPC  |  [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2)  | 
|  PCI DSS v3.2.1  |  Domain PCI.ES.2 Elasticsearch harus mengaktifkan enkripsi saat istirahat  |  [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1)  | 
|  PCI DSS v3.2.1  |  PCI. GuardDuty.1 GuardDuty harus diaktifkan  |  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)  | 
|  PCI DSS v3.2.1  |  Kunci akses pengguna root PCI.IAM.1 IAM seharusnya tidak ada  |  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)  | 
|  PCI DSS v3.2.1  |  Pengguna IAM PCI.IAM.2 tidak boleh memiliki kebijakan IAM yang dilampirkan  |  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)  | 
|  PCI DSS v3.2.1  |  Kebijakan IAM PCI.IAM.3 tidak boleh mengizinkan hak administratif “\$1” penuh  |  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)  | 
|  PCI DSS v3.2.1  |  MFA Perangkat Keras PCI.IAM.4 harus diaktifkan untuk pengguna root  |  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)  | 
|  PCI DSS v3.2.1  |  PCI.IAM.5 MFA Virtual harus diaktifkan untuk pengguna root  |  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  | 
|  PCI DSS v3.2.1  |  MFA PCI.IAM.6 harus diaktifkan untuk semua pengguna IAM  |  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)  | 
|  PCI DSS v3.2.1  |  Kredensi pengguna IAM PCI.IAM.7 harus dinonaktifkan jika tidak digunakan dalam jumlah hari yang ditentukan sebelumnya  |  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)  | 
|  PCI DSS v3.2.1  |  Kebijakan kata sandi PCI.IAM.8 untuk pengguna IAM harus memiliki konfigurasi yang kuat  |  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)  | 
|  PCI DSS v3.2.1  |  PCI.KMS.1 Rotasi kunci master pelanggan (CMK) harus diaktifkan  |  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)  | 
|  PCI DSS v3.2.1  |  Fungsi Lambda PCI.lambda.1 harus melarang akses publik  |  [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1)  | 
|  PCI DSS v3.2.1  |  PCI.lambda.2 Fungsi Lambda harus dalam VPC  |  [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3)  | 
|  PCI DSS v3.2.1  |  Domain OpenSearch PCI.openSearch.1 harus dalam VPC  |  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2)  | 
|  PCI DSS v3.2.1  |  Cuplikan PCI.openSearch.2 EBS tidak boleh dipulihkan secara publik  |  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1)  | 
|  PCI DSS v3.2.1  |  Snapshot PCI.RDS.1 RDS harus pribadi  |  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1)  | 
|  PCI DSS v3.2.1  |  Instans PCI.RDS.2 RDS DB harus melarang akses publik  |  [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)  | 
|  PCI DSS v3.2.1  |  PCI.redshift.1 Cluster Amazon Redshift harus melarang akses publik  |  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1)  | 
|  PCI DSS v3.2.1  |  Bucket PCI.S3.1 S3 harus melarang akses tulis publik  |  [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3)  | 
|  PCI DSS v3.2.1  |  Bucket PCI.S3.2 S3 harus melarang akses baca publik  |  [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2)  | 
|  PCI DSS v3.2.1  |  Bucket PCI.S3.3 S3 harus mengaktifkan replikasi lintas wilayah  |  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7)  | 
|  PCI DSS v3.2.1  |  Bucket PCI.S3.5 S3 harus memerlukan permintaan untuk menggunakan Secure Socket Layer  |  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  | 
|  PCI DSS v3.2.1  |  Pengaturan Akses Publik Blok PCI.S3.6 S3 harus diaktifkan  |  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  | 
|  PCI DSS v3.2.1  |  PCI. SageMaker.1 Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung  |  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1)  | 
|  PCI DSS v3.2.1  |  Instans PCI.SSM.1 EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch  |  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)  | 
|  PCI DSS v3.2.1  |  Instans PCI.SSM.2 EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT  |  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3)  | 
|  PCI DSS v3.2.1  |  Instans PCI.SSM.3 EC2 harus dikelola oleh AWS Systems Manager  |  [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1)  | 

## Memperbarui alur kerja untuk konsolidasi
<a name="securityhub-findings-format-changes-prepare"></a>

Jika alur kerja Anda tidak bergantung pada format spesifik bidang apa pun dalam temuan kontrol, tidak diperlukan tindakan.

Jika alur kerja Anda bergantung pada format tertentu dari satu atau beberapa bidang dalam temuan kontrol, seperti yang disebutkan dalam tabel sebelumnya, Anda harus memperbarui alur kerja Anda. Misalnya, Jika Anda membuat EventBridge aturan Amazon yang memicu tindakan untuk ID kontrol tertentu, seperti menjalankan AWS Lambda fungsi jika ID kontrol sama dengan CIS 2.7, perbarui aturan untuk menggunakan CloudTrail .2, yang merupakan nilai untuk bidang untuk kontrol tersebut`Compliance.SecurityControlId`.

Jika Anda membuat [wawasan khusus](securityhub-custom-insights.md) yang menggunakan bidang atau nilai apa pun yang berubah, perbarui wawasan tersebut untuk menggunakan bidang atau nilai baru.

# Atribut ASFF tingkat atas yang diperlukan
<a name="asff-required-attributes"></a>

Atribut tingkat atas berikut dalam AWS Security Finding Format (ASFF) diperlukan untuk semua temuan di Security Hub CSPM. Untuk informasi selengkapnya tentang atribut ini, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)di *Referensi API AWS Security Hub*.

## AwsAccountId
<a name="AwsAccountId"></a>

 Akun AWS ID yang berlaku untuk temuan tersebut.

**Contoh**

```
"AwsAccountId": "111111111111"
```

## CreatedAt
<a name="CreatedAt"></a>

Menunjukkan kapan potensi masalah keamanan atau peristiwa yang ditangkap oleh temuan dibuat.

**Contoh**

```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```

## Deskripsi
<a name="Description"></a>

Deskripsi temuan. Bidang ini dapat berupa teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan.

Untuk temuan kontrol yang dihasilkan oleh Security Hub CSPM, bidang ini memberikan deskripsi kontrol.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Contoh**

```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```

## GeneratorId
<a name="GeneratorId"></a>

Pengidentifikasi untuk komponen spesifik solusi (unit logika diskrit) yang menghasilkan temuan.

Untuk temuan kontrol yang dihasilkan CSPM Security Hub, bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol [konsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Contoh**

```
"GeneratorId": "security-control/Config.1"
```

## Id
<a name="Id"></a>

Pengidentifikasi khusus produk untuk sebuah temuan. Untuk temuan kontrol yang dihasilkan oleh Security Hub CSPM, bidang ini menyediakan Nama Sumber Daya Amazon (ARN) dari temuan tersebut.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Contoh**

```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```

## ProductArn
<a name="ProductArn"></a>

Nama Sumber Daya Amazon (ARN) yang dihasilkan oleh Security Hub CSPM yang secara unik mengidentifikasi produk temuan pihak ketiga setelah produk terdaftar di Security Hub CSPM.

Format bidang ini adalah `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Untuk Layanan AWS itu terintegrasi dengan Security Hub CSPM, `company-id` harus "`aws`“, dan `product-id` harus menjadi nama layanan AWS publik. Karena AWS produk dan layanan tidak terkait dengan akun, `account-id` bagian ARN kosong. Layanan AWS yang belum terintegrasi dengan Security Hub CSPM dianggap sebagai produk pihak ketiga.
+ Untuk produk publik, `company-id` dan `product-id` harus berupa nilai ID yang ditentukan pada saat pendaftaran.
+ Untuk produk pribadi, `company-id` harus ID akun. `product-id`Harus berupa kata cadangan “default” atau ID yang ditentukan pada saat pendaftaran.

**Contoh**

```
// Private ARN
    "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
    "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```

## Sumber daya
<a name="Resources"></a>

`Resources`Array objek menyediakan satu set tipe data sumber daya yang menggambarkan AWS sumber daya yang mengacu pada temuan tersebut. Untuk detail tentang bidang yang mungkin berisi `Resources` objek, termasuk bidang mana yang diperlukan, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)di *Referensi API AWS Security Hub*. Untuk contoh `Resources` objek untuk spesifik Layanan AWS, lihat[ResourcesObjek ASFF](asff-resources.md).

**Contoh**

```
"Resources": [
  {
    "ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
    "ApplicationName": "SampleApp",
    "DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2
                 }
            ],
            "TotalCount": 2
        }
    }
},
	"Type": "AwsEc2Instance",
	"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
	"Partition": "aws",
	"Region": "us-west-2",
	"ResourceRole": "Target",
	"Tags": {
		"billingCode": "Lotus-1-2-3",
		"needsPatching": true
	},
	"Details": {
		"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
		"ImageId": "ami-79fd7eee",
		"IpV4Addresses": ["1.1.1.1"],
		"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
		"KeyName": "testkey",
		"LaunchedAt": "2018-09-29T01:25:54Z",
		"MetadataOptions": {
			"HttpEndpoint": "enabled",
			"HttpProtocolIpv6": "enabled",
			"HttpPutResponseHopLimit": 1,
			"HttpTokens": "optional",
			"InstanceMetadataTags": "disabled"
		}
	},
		"NetworkInterfaces": [
		{
			"NetworkInterfaceId": "eni-e5aa89a3"
		}
		],
		"SubnetId": "PublicSubnet",
		"Type": "i3.xlarge",
		"VirtualizationType": "hvm",
		"VpcId": "TestVPCIpv6"
	}

]
```

## SchemaVersion
<a name="SchemaVersion"></a>

Versi skema yang diformat untuk temuan. Nilai bidang ini harus menjadi salah satu versi yang diterbitkan secara resmi yang diidentifikasi oleh AWS. Dalam rilis saat ini, versi skema AWS Security Finding Format adalah`2018-10-08`.

**Contoh**

```
"SchemaVersion": "2018-10-08"
```

## Kepelikan
<a name="Severity"></a>

Mendefinisikan pentingnya sebuah temuan. Untuk detail tentang objek ini, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)di *Referensi AWS Security Hub API*.

`Severity`adalah objek tingkat atas dalam temuan dan bersarang di bawah objek. `FindingProviderFields`

Nilai `Severity` objek tingkat atas untuk temuan harus diperbarui hanya dengan menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.

Untuk memberikan informasi tingkat keparahan, penyedia pencarian harus memperbarui `Severity` objek di bawah `FindingProviderFields` saat membuat permintaan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API.
 Jika `BatchImportFindings` permintaan untuk temuan baru hanya menyediakan `Label` atau hanya menyediakan`Normalized`, Security Hub CSPM secara otomatis mengisi nilai bidang lainnya. `Original`Bidang `Product` dan juga dapat dihuni.

Jika `Finding.Severity` objek tingkat atas hadir tetapi tidak `Finding.FindingProviderFields` ada, Security Hub CSPM membuat `FindingProviderFields.Severity` objek dan menyalin keseluruhan `Finding.Severity object` ke dalamnya. Ini memastikan bahwa detail asli yang disediakan penyedia dipertahankan dalam `FindingProviderFields.Severity` struktur, bahkan jika objek tingkat atas `Severity` ditimpa. 

Tingkat keparahan temuan tidak mempertimbangkan kekritisan aset yang terlibat atau sumber daya yang mendasarinya. Kritikalitas didefinisikan sebagai tingkat kepentingan sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi memiliki kekritisan yang lebih tinggi daripada yang terkait dengan pengujian nonproduksi. Untuk menangkap informasi tentang kekritisan sumber daya, gunakan `Criticality` bidang.

Sebaiknya gunakan panduan berikut saat menerjemahkan skor keparahan asli temuan ke nilai `Severity.Label` di ASFF.
+ `INFORMATIONAL`Kategori ini dapat mencakup temuan untuk`PASSED`,`WARNING`, atau `NOT AVAILABLE` cek atau identifikasi data sensitif.
+ `LOW`— Temuan yang dapat menghasilkan kompromi di masa depan. Misalnya, kategori ini mungkin mencakup kerentanan, kelemahan konfigurasi, dan kata sandi yang terbuka.
+ `MEDIUM`— Temuan yang menunjukkan kompromi aktif, tetapi tidak ada indikasi bahwa musuh menyelesaikan tujuan mereka. Misalnya, kategori ini mungkin mencakup aktivitas malware, aktivitas peretasan, dan deteksi perilaku yang tidak biasa.
+ `HIGH`atau `CRITICAL` — Temuan yang menunjukkan bahwa musuh menyelesaikan tujuan mereka, seperti kehilangan data aktif atau kompromi atau penolakan layanan.

**Contoh**

```
"Severity": {
    "Label": "CRITICAL",
    "Normalized": 90,
    "Original": "CRITICAL"
}
```

## judul
<a name="Title"></a>

Judul temuan. Bidang ini dapat berisi teks boilerplate nonspesifik atau detail yang spesifik untuk contoh temuan ini.

Untuk temuan kontrol, bidang ini memberikan judul kontrol. Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Contoh**

```
"Title": "AWS Config should be enabled"
```

## Tipe
<a name="Types"></a>

Satu atau lebih jenis temuan dalam format `namespace/category/classifier` yang mengklasifikasikan temuan. Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

`Types`harus diperbarui hanya dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.

Menemukan penyedia yang ingin memberikan nilai untuk `Types` harus menggunakan `Types` atribut di bawah [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).

Dalam daftar berikut, peluru tingkat atas adalah ruang nama, peluru tingkat kedua adalah kategori, dan peluru tingkat ketiga adalah pengklasifikasi. Sebaiknya penyedia pencarian menggunakan ruang nama yang ditentukan untuk membantu mengurutkan dan mengelompokkan temuan. Kategori dan pengklasifikasi yang ditentukan juga dapat digunakan, tetapi tidak diperlukan. Hanya namespace Pemeriksaan Perangkat Lunak dan Konfigurasi yang telah menentukan pengklasifikasi.

Anda dapat menentukan jalur sebagian untuknamespace/category/classifier. Misalnya, jenis temuan berikut semuanya valid:
+ TTPs
+ TTPs/Penghindaran Pertahanan
+ TTPs/Defense Evasion/CloudTrailStopped

Kategori taktik, teknik, dan prosedur (TTPs) dalam daftar berikut selaras dengan MatrixTM [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/). Namespace Perilaku Tidak Biasa mencerminkan perilaku umum yang tidak biasa, seperti anomali statistik umum, dan tidak selaras dengan TTP tertentu. Namun, Anda dapat mengklasifikasikan temuan dengan Perilaku Tidak Biasa dan tipe TTPs temuan.

**Daftar ruang nama, kategori, dan pengklasifikasi:**
+ Pemeriksaan Perangkat Lunak dan Konfigurasi
  + Kerentanan
    + CVE
  + AWS Praktik Terbaik Keamanan
    + Keterjangkauan Jaringan
    + Analisis Perilaku Waktu Aktif
  + Standar Industri dan Regulasi
    + AWS Praktik Terbaik Keamanan Dasar
    + Tolok Ukur Pengerasan Host CIS
    + Tolok Ukur AWS Yayasan CIS
    + PCI-DSS
    + Kontrol Aliansi Keamanan Cloud
    + Kontrol ISO 90001
    + Kontrol ISO 27001
    + Kontrol ISO 27017
    + Kontrol ISO 27018
    + SOC 1
    + SOC 2
    + Kontrol HIPAA (AS)
    + NIST 800-53 Kontrol (AS)
    + Kontrol CSF NIST (AS)
    + Kontrol IRAP (Australia)
    + Kontrol K-ISMS (Korea)
    + Kontrol MTCS (Singapura)
    + Kontrol FISC (Jepang)
    + Kontrol Undang-Undang Nomor Saya (Jepang)
    + ENS Controls (Spanyol)
    + Kontrol Cyber Essentials Plus (Inggris)
    + Kontrol G-Cloud (Inggris)
    + Kontrol C5 (Jerman)
    + Kontrol IT-Grundschutz (Jerman)
    + Kontrol GDPR (Eropa)
    + Kontrol TISAX (Eropa)
  + Manajemen Patch
+ TTPs
  + Akses Awal
  + Eksekusi
  + Tetap
  + Eskalasi Hak Istimewa
  + Penghindaran Pertahanan
  + Akses Kredensi
  + Penemuan
  + Gerakan Lateral
  + Koleksi
  + Perintah dan Kontrol
+ Efek
  + Eksposur Data
  + Ekfiltrasi Data 
  + Penghancuran Data 
  + Penolakan Layanan 
  + Konsumsi Sumber Daya
+ Perilaku Tidak Biasa
  + Aplikasi
  + Aliran Jaringan
  + Alamat IP
  + Pengguna
  + VM
  + Kontainer
  + Nirserver
  + Proses
  + Basis Data
  + Data 
+ Identifikasi Data Sensitif
  + PII
  + Kata Sandi
  + Hukum
  + Keuangan
  + Keamanan
  + Bisnis

**Contoh**

```
"Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
]
```

## UpdatedAt
<a name="UpdatedAt"></a>

Menunjukkan kapan penyedia temuan terakhir memperbarui catatan temuan.

Stempel waktu ini mencerminkan waktu ketika catatan temuan terakhir atau yang terbaru diperbarui. Akibatnya, ini dapat berbeda dari `LastObservedAt` stempel waktu, yang mencerminkan kapan peristiwa atau kerentanan terakhir atau yang terbaru diamati.

Saat memperbarui catatan temuan, Anda harus memperbarui stempel waktu ini ke stempel waktu saat ini. Setelah membuat catatan temuan, `CreatedAt` dan `UpdatedAt` stempel waktu harus sama. Setelah pembaruan ke catatan temuan, nilai bidang ini harus lebih baru dari semua nilai sebelumnya yang terkandung di dalamnya.

Perhatikan bahwa `UpdatedAt` tidak dapat diperbarui dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi. Anda dapat memperbaruinya hanya dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi.

**Contoh**

```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```

# Atribut ASFF tingkat atas opsional
<a name="asff-top-level-attributes"></a>

Atribut tingkat atas berikut dalam AWS Security Finding Format (ASFF) adalah opsional untuk temuan di Security Hub CSPM. Untuk informasi selengkapnya tentang atribut ini, lihat [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)di *Referensi API AWS Security Hub*.

## Tindakan
<a name="asff-action"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)Objek memberikan rincian tentang tindakan yang mempengaruhi atau diambil pada sumber daya.

**Contoh**

```
"Action": {
    "ActionType": "PORT_PROBE",
    "PortProbeAction": {
        "PortProbeDetails": [
            {
                "LocalPortDetails": {
                    "Port": 80,
                    "PortName": "HTTP"
                  },
                "LocalIpDetails": {
                     "IpAddressV4": "192.0.2.0"
                 },
                "RemoteIpDetails": {
                    "Country": {
                        "CountryName": "Example Country"
                    },
                    "City": {
                        "CityName": "Example City"
                    },
                   "GeoLocation": {
                       "Lon": 0,
                       "Lat": 0
                   },
                   "Organization": {
                       "AsnOrg": "ExampleASO",
                       "Org": "ExampleOrg",
                       "Isp": "ExampleISP",
                       "Asn": 64496
                   }
                }
            }
        ],
        "Blocked": false
    }
}
```

## AwsAccountName
<a name="asff-awsaccountname"></a>

 Akun AWS Nama yang digunakan untuk temuan itu.

**Contoh**

```
"AwsAccountName": "jane-doe-testaccount"
```

## CompanyName
<a name="asff-companyname"></a>

Nama perusahaan untuk produk yang menghasilkan temuan. Untuk temuan berbasis kontrol, perusahaan adalah. AWS

Security Hub CSPM mengisi atribut ini secara otomatis untuk setiap temuan. Anda tidak dapat memperbaruinya menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)atau [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Pengecualian untuk ini adalah ketika Anda menggunakan integrasi khusus. Lihat [Mengintegrasikan Security Hub CSPM dengan produk khusus](securityhub-custom-providers.md).

Saat Anda menggunakan konsol CSPM Security Hub untuk memfilter temuan berdasarkan nama perusahaan, Anda menggunakan atribut ini. Bila Anda menggunakan Security Hub CSPM API untuk memfilter temuan berdasarkan nama perusahaan, Anda menggunakan `aws/securityhub/CompanyName` atribut di bawah. `ProductFields` Security Hub CSPM tidak menyinkronkan kedua atribut tersebut.

**Contoh**

```
"CompanyName": "AWS"
```

## Kepatuhan
<a name="asff-compliance"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html)Objek biasanya memberikan rincian tentang temuan kontrol, seperti standar yang berlaku dan status pemeriksaan kontrol.

**Contoh**

```
"Compliance": {
    "AssociatedStandards": [
        {"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
        {"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
        {"StandardsId": "standards/nist-800-53/v/5.0.0"}
    ],
    "RelatedRequirements": [
        "NIST.800-53.r5 AC-4",
        "NIST.800-53.r5 AC-4(21)",
        "NIST.800-53.r5 SC-7",
        "NIST.800-53.r5 SC-7(11)",
        "NIST.800-53.r5 SC-7(16)",
        "NIST.800-53.r5 SC-7(21)",
        "NIST.800-53.r5 SC-7(4)",
        "NIST.800-53.r5 SC-7(5)"
    ],
    "SecurityControlId": "EC2.18",
    "SecurityControlParameters":[
        {
            "Name": "authorizedTcpPorts",
            "Value": ["80", "443"]
        },
        {
            "Name": "authorizedUdpPorts",
            "Value": ["427"]
        }
    ],
    "Status": "NOT_AVAILABLE",
    "StatusReasons": [
        {
            "ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
            "Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
        }
    ]
}
```

## Kepercayaan
<a name="asff-confidence"></a>

Kemungkinan bahwa temuan secara akurat mengidentifikasi perilaku atau masalah yang dimaksudkan untuk diidentifikasi.

`Confidence`seharusnya hanya diperbarui menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Menemukan penyedia yang ingin memberikan nilai untuk `Confidence` harus menggunakan `Confidence` atribut di bawah`FindingProviderFields`. Lihat [Memperbarui temuan dengan FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Confidence`dinilai berdasarkan 0-100 menggunakan skala rasio. 0 berarti kepercayaan 0 persen, dan 100 berarti kepercayaan 100 persen. Misalnya, deteksi eksfiltrasi data berdasarkan penyimpangan statistik lalu lintas jaringan memiliki kepercayaan diri yang rendah karena eksfiltrasi aktual belum diverifikasi.

**Contoh**

```
"Confidence": 42
```

## Kekritisan
<a name="asff-criticality"></a>

Tingkat kepentingan yang ditetapkan untuk sumber daya yang terkait dengan temuan.

`Criticality`seharusnya hanya diperbarui dengan memanggil operasi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Jangan perbarui objek ini dengan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Menemukan penyedia yang ingin memberikan nilai untuk `Criticality` harus menggunakan `Criticality` atribut di bawah`FindingProviderFields`. Lihat [Memperbarui temuan dengan FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).

`Criticality`diberi skor pada basis 0-100, menggunakan skala rasio yang hanya mendukung bilangan bulat penuh. Skor 0 berarti bahwa sumber daya yang mendasarinya tidak memiliki kekritisan, dan skor 100 dicadangkan untuk sumber daya yang paling kritis.

Untuk setiap sumber daya, pertimbangkan hal berikut saat menetapkan`Criticality`:
+ Apakah sumber daya yang terpengaruh berisi data sensitif (misalnya, bucket S3 dengan PII)? 
+ Apakah sumber daya yang terpengaruh memungkinkan musuh untuk memperdalam akses mereka atau memperluas kemampuan mereka untuk melakukan aktivitas berbahaya tambahan (misalnya, akun sysadmin yang disusupi)?
+ Apakah sumber daya merupakan aset penting bisnis (misalnya, sistem bisnis utama yang jika dikompromikan dapat memiliki dampak pendapatan yang signifikan)?

Anda dapat menggunakan pedoman berikut:
+ Sumber daya yang menggerakkan sistem mission-critical atau berisi data yang sangat sensitif dapat dinilai dalam kisaran 75-100.
+ Sumber daya yang memberi daya pada sistem penting (tetapi bukan sistem kritis) atau berisi data yang cukup penting dapat dinilai dalam kisaran 25-74.
+ Sumber daya yang memberi daya pada sistem yang tidak penting atau berisi data yang tidak sensitif harus dinilai dalam kisaran 0-24.

**Contoh**

```
"Criticality": 99
```

## Deteksi
<a name="asff-detection"></a>

`Detection`Objek ini memberikan detail tentang temuan urutan serangan dari Amazon GuardDuty Extended Threat Detection. GuardDuty menghasilkan temuan urutan serangan ketika beberapa peristiwa sejajar dengan aktivitas yang berpotensi mencurigakan. Untuk menerima temuan urutan GuardDuty serangan di AWS Security Hub CSPM, Anda harus GuardDuty mengaktifkan di akun Anda. Untuk informasi selengkapnya, lihat [Deteksi Ancaman GuardDuty Diperpanjang Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) *di Panduan GuardDuty Pengguna Amazon*.

**Contoh**

```
"Detection": {
    "Sequence": {
    	"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
    	"Actors": [{
    		"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
    		"Session": {
    			"Uid": "1234567891",
    			"MfAStatus": "DISABLED",
    			"CreatedTime": "1716916944000",
    			"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		},
    		"User": {
    			"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
    			"Name": "ec2_instance_role_production",
    			"Type": "AssumedRole",
    			"Uid": "AROA987654321EXAMPLE:i-b188560f",
    			"Account": {
    				"Uid": "AccountId",
    				"Name": "AccountName"
    			}
    		}
    	}],
    	"Endpoints": [{
    		"Id": "EndpointId",
    		"Ip": "203.0.113.1",
    		"Domain": "example.com",
    		"Port": 4040,
    		"Location": {
    			"City": "New York",
    			"Country": "US",
    			"Lat": 40.7123,
    			"Lon": -74.0068
    		},
    		"AutonomousSystem": {
    			"Name": "AnyCompany",
    			"Number": 64496
    		},
    		"Connection": {
    			"Direction": "INBOUND"
    		}
    	}],
    	"Signals": [{
    		"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
    		"Title": "Someone ran a penetration test tool on your account.",
    		"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
    		"Count": 19,
    		"FirstSeenAt": 1716916943000,
    		"SignalIndicators": [
    			{
    				"Key": "ATTACK_TACTIC",
    				"Title": "Attack Tactic",
    				"Values": [
    					"Impact"
    				]
    			},
    			{
    				"Key": "HIGH_RISK_API",
    				"Title": "High Risk Api",
    				"Values": [
    					"s3:DeleteObject"
    				]
    			},
    			{
    				"Key": "ATTACK_TECHNIQUE",
    				"Title": "Attack Technique",
    				"Values": [
    					"Data Destruction"
    				]
    			},
    		],
    		"LastSeenAt": 1716916944000,
    		"Name": "Test:IAMUser/KaliLinux",
    		"ResourceIds": [
    			"arn:aws:s3:::amzn-s3-demo-destination-bucket"
    		],
    		"Type": "FINDING"
    	}],
    	"SequenceIndicators": [
    		{
    			"Key": "ATTACK_TACTIC",
    			"Title": "Attack Tactic",
    			"Values": [
    				"Discovery",
    				"Exfiltration",
    				"Impact"
    			]
    		},
    		{
    			"Key": "HIGH_RISK_API",
    			"Title": "High Risk Api",
    			"Values": [
    				"s3:DeleteObject",
    				"s3:GetObject",
    				"s3:ListBuckets"
    				"s3:ListObjects"
    			]
    		},
    		{
    			"Key": "ATTACK_TECHNIQUE",
    			"Title": "Attack Technique",
    			"Values": [
    				"Cloud Service Discovery",
    				"Data Destruction"
    			]
    		}
    	]
    }
}
```

## FindingProviderFields
<a name="asff-findingproviderfields"></a>

`FindingProviderFields`termasuk atribut berikut:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Bidang sebelumnya bersarang di bawah `FindingProviderFields` objek, tetapi memiliki analog dengan nama yang sama dengan bidang ASFF tingkat atas. Ketika temuan baru dikirim ke Security Hub CSPM oleh penyedia pencarian, Security Hub CSPM mengisi `FindingProviderFields` objek secara otomatis jika kosong berdasarkan bidang tingkat atas yang sesuai.

Penyedia pencarian dapat memperbarui `FindingProviderFields` dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)pengoperasian Security Hub CSPM API. Menemukan penyedia tidak dapat memperbarui objek ini dengan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

Untuk detail tentang cara Security Hub CSPM menangani pembaruan dari `BatchImportFindings` ke `FindingProviderFields` dan ke atribut tingkat atas yang sesuai, lihat. [Memperbarui temuan dengan FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)

Pelanggan dapat memperbarui bidang tingkat atas dengan menggunakan `BatchUpdateFindings` operasi. Pelanggan tidak dapat memperbarui`FindingProviderFields`.

**Contoh**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

## FirstObservedAt
<a name="asff-firstobservedat"></a>

Menunjukkan kapan potensi masalah keamanan atau peristiwa yang ditangkap oleh temuan pertama kali diamati.

Stempel waktu ini menentukan kapan peristiwa atau kerentanan pertama kali diamati. Akibatnya, ini dapat berbeda dari `CreatedAt` stempel waktu, yang mencerminkan kapan catatan temuan ini dibuat.

Untuk temuan kontrol yang dihasilkan dan diperbarui oleh Security Hub CSPM, stempel waktu ini juga dapat menunjukkan kapan status kepatuhan sumber daya baru-baru ini berubah. Untuk jenis temuan lain, stempel waktu ini harus tidak dapat diubah antara pembaruan catatan temuan, tetapi dapat diperbarui jika stempel waktu yang lebih akurat ditentukan.

**Contoh**

```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```

## LastObservedAt
<a name="asff-lastobservedat"></a>

Menunjukkan kapan potensi masalah keamanan atau peristiwa yang ditangkap oleh temuan baru-baru ini diamati oleh produk temuan keamanan.

Stempel waktu ini menentukan kapan peristiwa atau kerentanan terakhir atau yang terbaru diamati. Akibatnya, ini dapat berbeda dari `UpdatedAt` stempel waktu, yang mencerminkan kapan catatan temuan ini terakhir atau yang terbaru diperbarui. 

Anda dapat memberikan stempel waktu ini, tetapi tidak diperlukan pada pengamatan pertama. Jika Anda mengisi bidang ini pada pengamatan pertama, stempel waktu harus sama dengan stempel waktu. `FirstObservedAt` Anda harus memperbarui bidang ini untuk mencerminkan stempel waktu terakhir atau yang paling baru diamati setiap kali temuan diamati.

**Contoh**

```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```

## Malware
<a name="asff-malware"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html)Objek menyediakan daftar malware yang terkait dengan temuan.

**Contoh**

```
"Malware": [
    {
        "Name": "Stringler",
        "Type": "COIN_MINER",
        "Path": "/usr/sbin/stringler",
        "State": "OBSERVED"
    }
]
```

## Jaringan (Pensiunan)
<a name="asff-network"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html)Objek menyediakan informasi terkait jaringan tentang temuan.

Objek ini sudah pensiun. Untuk menyediakan data ini, Anda dapat memetakan data ke sumber daya di`Resources`, atau menggunakan `Action` objek.

**Contoh**

```
"Network": {
    "Direction": "IN",
    "OpenPortRange": {
        "Begin": 443,
        "End": 443
    },
    "Protocol": "TCP",
    "SourceIpV4": "1.2.3.4",
    "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "SourcePort": "42",
    "SourceDomain": "example1.com",
    "SourceMac": "00:0d:83:b1:c0:8e",
    "DestinationIpV4": "2.3.4.5",
    "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
    "DestinationPort": "80",
    "DestinationDomain": "example2.com"
}
```

## NetworkPath
<a name="asff-networkpath"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html)Objek memberikan informasi tentang jalur jaringan yang terkait dengan temuan. Setiap entri di `NetworkPath` mewakili komponen jalur.

**Contoh**

```
"NetworkPath" : [
    {
        "ComponentId": "abc-01a234bc56d8901ee",
        "ComponentType": "AWS::EC2::InternetGateway",
        "Egress": {
            "Destination": {
                "Address": [ "192.0.2.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": ["203.0.113.0/24"]
            }
        },
        "Ingress": {
            "Destination": {
                "Address": [ "198.51.100.0/24" ],
                "PortRanges": [
                    {
                        "Begin": 443,
                        "End": 443
                    }
                 ]
            },
            "Protocol": "TCP",
            "Source": {
                "Address": [ "203.0.113.0/24" ]
            }
        }
     }
]
```

## Catatan
<a name="asff-note"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html)Objek menentukan catatan yang ditentukan pengguna yang dapat Anda tambahkan ke temuan.

Penyedia temuan dapat memberikan catatan awal untuk sebuah temuan, tetapi tidak dapat menambahkan catatan setelah itu. Anda hanya dapat memperbarui catatan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Contoh**

```
"Note": {
    "Text": "Don't forget to check under the mat.",
    "UpdatedBy": "jsmith",
    "UpdatedAt": "2018-08-31T00:15:09Z"
}
```

## PatchSummary
<a name="asff-patchsummary"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html)Objek menyediakan ringkasan status kepatuhan patch untuk sebuah instance terhadap standar kepatuhan yang dipilih.

**Contoh**

```
"PatchSummary" : {
    "FailedCount" : 0,
    "Id" : "pb-123456789098",
    "InstalledCount" : 100,
    "InstalledOtherCount" : 1023,
    "InstalledPendingReboot" : 0,
    "InstalledRejectedCount" : 0,
    "MissingCount" : 100,
    "Operation" : "Install",
    "OperationEndTime" : "2018-09-27T23:39:31Z",
    "OperationStartTime" : "2018-09-27T23:37:31Z",
    "RebootOption" : "RebootIfNeeded"
}
```

## Proses
<a name="asff-process"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html)Objek memberikan rincian terkait proses tentang temuan.

Contoh:

```
"Process": {
    "LaunchedAt": "2018-09-27T22:37:31Z",
    "Name": "syslogd",
    "ParentPid": 56789,
    "Path": "/usr/sbin/syslogd",
    "Pid": 12345,
    "TerminatedAt": "2018-09-27T23:37:31Z"
}
```

## ProcessedAt
<a name="asff-processedat"></a>

Menunjukkan kapan Security Hub CSPM menerima temuan dan mulai memprosesnya.

Ini berbeda dari `CreatedAt` dan`UpdatedAt`, yang merupakan stempel waktu yang diperlukan yang berhubungan dengan interaksi penyedia temuan dengan masalah keamanan dan temuan. `ProcessedAt`Stempel waktu menunjukkan kapan Security Hub CSPM mulai memproses temuan. Temuan muncul di akun pengguna setelah pemrosesan selesai.

```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```

## ProductFields
<a name="asff-productfields"></a>

Tipe data di mana produk temuan keamanan dapat menyertakan detail spesifik solusi tambahan yang bukan merupakan bagian dari Format Pencarian AWS Keamanan yang ditentukan.

Untuk temuan yang dihasilkan oleh kontrol CSPM Security Hub, `ProductFields` termasuk informasi tentang kontrol. Lihat [Menghasilkan dan memperbarui temuan kontrol](controls-findings-create-update.md).

Bidang ini tidak boleh berisi data yang berlebihan dan tidak boleh berisi data yang bertentangan dengan bidang Format Pencarian AWS Keamanan.

Awalan `aws/` "" mewakili namespace yang dicadangkan hanya untuk AWS produk dan layanan dan tidak boleh diserahkan dengan temuan dari integrasi pihak ketiga.

Meskipun tidak diperlukan, produk harus memformat nama bidang sebagai`company-id/product-id/field-name`, di mana `company-id` dan `product-id` cocok dengan yang `ProductArn` disediakan dalam temuan.

Referensi bidang `Archival` digunakan saat Security Hub CSPM mengarsipkan temuan yang ada. Misalnya, Security Hub CSPM mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar dan saat Anda mengaktifkan atau menonaktifkan [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings).

Bidang ini juga dapat mencakup informasi tentang standar yang mencakup kontrol yang menghasilkan temuan.

**Contoh**

```
"ProductFields": {
    "API", "DeleteTrail",
    "ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
    "ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
    "aws/inspector/AssessmentTargetName": "My prod env",
    "aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
    "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
    "generico/secure-pro/Action.Type", "AWS_API_CALL",
    "generico/secure-pro/Count": "6",
    "Service_Name": "cloudtrail.amazonaws.com"
}
```

## ProductName
<a name="asff-productname"></a>

Memberikan nama produk yang menghasilkan temuan. Untuk temuan berbasis kontrol, nama produknya adalah Security Hub CSPM.

Security Hub CSPM mengisi atribut ini secara otomatis untuk setiap temuan. Anda tidak dapat memperbaruinya menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)atau [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Pengecualian untuk ini adalah ketika Anda menggunakan integrasi khusus. Lihat [Mengintegrasikan Security Hub CSPM dengan produk khusus](securityhub-custom-providers.md).

Saat Anda menggunakan konsol CSPM Security Hub untuk memfilter temuan berdasarkan nama produk, Anda menggunakan atribut ini.

Bila Anda menggunakan Security Hub CSPM API untuk memfilter temuan berdasarkan nama produk, Anda menggunakan `aws/securityhub/ProductName` atribut di bawah. `ProductFields`

Security Hub CSPM tidak menyinkronkan kedua atribut tersebut.

## RecordState
<a name="asff-recordstate"></a>

Memberikan status catatan temuan. 

Secara default, ketika awalnya dihasilkan oleh layanan, temuan dipertimbangkan`ACTIVE`.

`ARCHIVED`Negara menunjukkan bahwa temuan harus disembunyikan dari pandangan. Temuan yang diarsipkan tidak segera dihapus. Anda dapat mencari, meninjau, dan melaporkannya. Security Hub CSPM secara otomatis mengarsipkan temuan berbasis kontrol jika sumber daya terkait dihapus, sumber daya tidak ada, atau kontrol dinonaktifkan.

`RecordState`dimaksudkan untuk menemukan penyedia, dan dapat diperbarui hanya dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi. Anda tidak dapat memperbaruinya dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi.

Untuk melacak status penyelidikan Anda ke dalam sebuah temuan, gunakan [`Workflow`](#asff-workflow)sebagai gantinya`RecordState`.

Jika status rekaman berubah dari `ARCHIVED` ke`ACTIVE`, dan status alur kerja temuan adalah `NOTIFIED` atau`RESOLVED`, Security Hub CSPM secara otomatis mengubah status alur kerja menjadi. `NEW`

**Contoh**

```
"RecordState": "ACTIVE"
```

## Region
<a name="asff-region"></a>

Menentukan Wilayah AWS dari mana temuan itu dihasilkan.

Security Hub CSPM mengisi atribut ini secara otomatis untuk setiap temuan. Anda tidak dapat memperbaruinya menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)atau [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Contoh**

```
"Region": "us-west-2"
```

## RelatedFindings
<a name="asff-relatedfindings"></a>

Memberikan daftar temuan yang terkait dengan temuan saat ini.

`RelatedFindings`seharusnya hanya diperbarui dengan operasi [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Anda tidak harus memperbarui objek ini dengan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).

Untuk [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)permintaan, penyedia pencarian harus menggunakan `RelatedFindings` objek di bawah [`FindingProviderFields`](#asff-findingproviderfields).

Untuk melihat deskripsi `RelatedFindings` atribut, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"RelatedFindings": [
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "123e4567-e89b-12d3-a456-426655440000" },
    { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
      "Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```

## RiskAssessment
<a name="asff-riskassessment"></a>

**Contoh**

```
"RiskAssessment": {
    "Posture": {
        "FindingTotal": 4,
        "Indicators": [
            {
                "Type": "Reachability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            },
            {
                "Type": "Vulnerability",
                "Findings": [
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    },
                    {
                        "Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
                        "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
                        "Title": "Finding title"
                    }
                ]
            }
        ]
    }
}
```

## Remediasi
<a name="asff-remediation"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html)Objek memberikan informasi tentang langkah-langkah remediasi yang direkomendasikan untuk mengatasi temuan tersebut.

**Contoh**

```
"Remediation": {
    "Recommendation": {
        "Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
        "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
    }
}
```

## Sampel
<a name="asff-sample"></a>

Menentukan apakah temuan adalah temuan sampel.

```
"Sample": true
```

## SourceUrl
<a name="asff-sourceurl"></a>

`SourceUrl`Objek menyediakan URL yang menautkan ke halaman tentang temuan saat ini dalam produk pencarian.

```
"SourceUrl": "http://sourceurl.com"
```

## ThreatIntelIndicators
<a name="asff-threatintelindicators"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html)Objek tersebut memberikan rincian intelijen ancaman yang terkait dengan temuan.

**Contoh**

```
"ThreatIntelIndicators": [
  {
    "Category": "BACKDOOR",
    "LastObservedAt": "2018-09-27T23:37:31Z",
    "Source": "Threat Intel Weekly",
    "SourceUrl": "http://threatintelweekly.org/backdoors/8888",
    "Type": "IPV4_ADDRESS",
    "Value": "8.8.8.8",
  }
]
```

## Ancaman
<a name="asff-threats"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html)Objek tersebut memberikan rincian tentang ancaman yang terdeteksi oleh sebuah temuan.

**Contoh**

```
"Threats": [{
    "FilePaths": [{
        "FileName": "b.txt",
        "FilePath": "/tmp/b.txt",
        "Hash": "sha256",
        "ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
    }],
    "ItemCount": 3,
    "Name": "Iot.linux.mirai.vwisi",
    "Severity": "HIGH"
}]
```

## UserDefinedFields
<a name="asff-userdefinedfields"></a>

Menyediakan daftar pasangan string nama-nilai yang terkait dengan temuan. Ini adalah bidang khusus yang ditentukan pengguna yang ditambahkan ke temuan. Bidang ini dapat dihasilkan secara otomatis melalui konfigurasi spesifik Anda.

Penyedia pencarian tidak boleh menggunakan bidang ini untuk data yang dihasilkan produk. Sebagai gantinya, penyedia pencarian dapat menggunakan `ProductFields` bidang untuk data yang tidak dipetakan ke bidang Format Pencarian AWS Keamanan standar apa pun.

Bidang ini hanya dapat diperbarui menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

**Contoh**

```
"UserDefinedFields": {
    "reviewedByCio": "true",
    "comeBackToLater": "Check this again on Monday"
}
```

## VerificationState
<a name="asff-verificationstate"></a>

Memberikan kebenaran temuan. Temuan produk dapat memberikan nilai `UNKNOWN` untuk bidang ini. Produk temuan harus memberikan nilai untuk bidang ini jika ada analog yang berarti dalam sistem produk temuan. Bidang ini biasanya diisi oleh penentuan atau tindakan pengguna setelah menyelidiki temuan.

Penyedia temuan dapat memberikan nilai awal untuk atribut ini, tetapi tidak dapat memperbaruinya setelah itu. Anda hanya dapat memperbarui atribut ini dengan menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).

```
"VerificationState": "Confirmed"
```

## Kerentanan
<a name="asff-vulnerabilities"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)Objek menyediakan daftar kerentanan yang terkait dengan temuan.

**Contoh**

```
"Vulnerabilities" : [
    {
        "CodeVulnerabilities": [{
            "Cwes": [
                "CWE-798",
                "CWE-799"
            ],
            "FilePath": {
                "EndLine": 421,
                "FileName": "package-lock.json",
                "FilePath": "package-lock.json",
                "StartLine": 420
            },
                "SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
        }],
        "Cvss": [
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "Version": "V3"
            },
            {
                "BaseScore": 4.7,
                "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
                "Version": "V2"
            }
        ],
        "EpssScore": 0.015,
        "ExploitAvailable": "YES",
        "FixAvailable": "YES",
        "Id": "CVE-2020-12345",
        "LastKnownExploitAt": "2020-01-16T00:01:35Z",
        "ReferenceUrls":[
           "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
            "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
        ],
        "RelatedVulnerabilities": ["CVE-2020-12345"],
        "Vendor": {
            "Name": "Alas",
            "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
            "VendorCreatedAt":"2020-01-16T00:01:43Z",
            "VendorSeverity":"Medium",
            "VendorUpdatedAt":"2020-01-16T00:01:43Z"
        },
        "VulnerablePackages": [
            {
                "Architecture": "x86_64",
                "Epoch": "1",
                "FilePath": "/tmp",
                "FixedInVersion": "0.14.0",
                "Name": "openssl",
                "PackageManager": "OS",
                "Release": "16.amzn2.0.3",
                "Remediation": "Update aws-crt to 0.14.0",
                "SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
                "SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
                "Version": "1.0.2k"
            }
        ]
    }
]
```

## Alur kerja
<a name="asff-workflow"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html)Objek tersebut memberikan informasi tentang status investigasi terhadap suatu temuan.

Bidang ini ditujukan bagi pelanggan untuk digunakan dengan alat remediasi, orkestrasi, dan tiket. Ini tidak dimaksudkan untuk menemukan penyedia.

Anda hanya dapat memperbarui `Workflow` bidang dengan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Pelanggan juga dapat memperbaruinya dari konsol. Lihat [Menetapkan status alur kerja temuan di Security Hub CSPM](findings-workflow-status.md).

**Contoh**

```
"Workflow": {
    "Status": "NEW"
}
```

## WorkflowState (Pensiun)
<a name="asff-workflowstate"></a>

Objek ini sudah pensiun dan telah digantikan oleh `Status` bidang `Workflow` objek.

Bidang ini menyediakan status alur kerja dari sebuah temuan. Temuan produk dapat memberikan nilai `NEW` untuk bidang ini. Produk temuan dapat memberikan nilai untuk bidang ini jika ada analog yang berarti dalam sistem produk temuan.

**Contoh**

```
"WorkflowState": "NEW"
```

# ResourcesObjek ASFF
<a name="asff-resources"></a>

Dalam AWS Security Finding Format (ASFF), `Resources` objek memberikan informasi tentang sumber daya yang terlibat dalam temuan. Ini berisi array hingga 32 objek sumber daya. Untuk menentukan bagaimana nama sumber daya diformat, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md). Untuk contoh setiap objek sumber daya, pilih sumber daya dari daftar berikut.

**Topics**
+ [Atribut sumber daya di ASFF](asff-resources-attributes.md)
+ [AwsAmazonMQsumber daya di ASFF](asff-resourcedetails-awsamazonmq.md)
+ [AwsApiGatewaysumber daya di ASFF](asff-resourcedetails-awsapigateway.md)
+ [AwsAppSyncsumber daya di ASFF](asff-resourcedetails-awsappsync.md)
+ [AwsAthenasumber daya di ASFF](asff-resourcedetails-awsathena.md)
+ [AwsAutoScalingsumber daya di ASFF](asff-resourcedetails-awsautoscaling.md)
+ [AwsBackupsumber daya di ASFF](asff-resourcedetails-awsbackup.md)
+ [AwsCertificateManagersumber daya di ASFF](asff-resourcedetails-awscertificatemanager.md)
+ [AwsCloudFormationsumber daya di ASFF](asff-resourcedetails-awscloudformation.md)
+ [AwsCloudFrontsumber daya di ASFF](asff-resourcedetails-awscloudfront.md)
+ [AwsCloudTrailsumber daya di ASFF](asff-resourcedetails-awscloudtrail.md)
+ [AwsCloudWatchsumber daya di ASFF](asff-resourcedetails-awscloudwatch.md)
+ [AwsCodeBuildsumber daya di ASFF](asff-resourcedetails-awscodebuild.md)
+ [AwsDmssumber daya di ASFF](asff-resourcedetails-awsdms.md)
+ [AwsDynamoDBsumber daya di ASFF](asff-resourcedetails-awsdynamodb.md)
+ [AwsEc2sumber daya di ASFF](asff-resourcedetails-awsec2.md)
+ [AwsEcrsumber daya di ASFF](asff-resourcedetails-awsecr.md)
+ [AwsEcssumber daya di ASFF](asff-resourcedetails-awsecs.md)
+ [AwsEfssumber daya di ASFF](asff-resourcedetails-awsefs.md)
+ [AwsEkssumber daya di ASFF](asff-resourcedetails-awseks.md)
+ [AwsElasticBeanstalksumber daya di ASFF](asff-resourcedetails-awselasticbeanstalk.md)
+ [AwsElasticSearchsumber daya di ASFF](asff-resourcedetails-awselasticsearch.md)
+ [AwsElbsumber daya di ASFF](asff-resourcedetails-awselb.md)
+ [AwsEventBridgesumber daya di ASFF](asff-resourcedetails-awsevent.md)
+ [AwsGuardDutysumber daya di ASFF](asff-resourcedetails-awsguardduty.md)
+ [AwsIamsumber daya di ASFF](asff-resourcedetails-awsiam.md)
+ [AwsKinesissumber daya di ASFF](asff-resourcedetails-awskinesis.md)
+ [AwsKmssumber daya di ASFF](asff-resourcedetails-awskms.md)
+ [AwsLambda](asff-resourcedetails-awslambda.md)
+ [AwsMsksumber daya di ASFF](asff-resourcedetails-awsmsk.md)
+ [AwsNetworkFirewallsumber daya di ASFF](asff-resourcedetails-awsnetworkfirewall.md)
+ [AwsOpenSearchServicesumber daya di ASFF](asff-resourcedetails-awsopensearchservice.md)
+ [AwsRdssumber daya di ASFF](asff-resourcedetails-awsrds.md)
+ [AwsRedshiftsumber daya di ASFF](asff-resourcedetails-awsredshift.md)
+ [AwsRoute53sumber daya di ASFF](asff-resourcedetails-awsroute53.md)
+ [AwsS3sumber daya di ASFF](asff-resourcedetails-awss3.md)
+ [AwsSageMakersumber daya di ASFF](asff-resourcedetails-awssagemaker.md)
+ [AwsSecretsManagersumber daya di ASFF](asff-resourcedetails-awssecretsmanager.md)
+ [AwsSnssumber daya di ASFF](asff-resourcedetails-awssns.md)
+ [AwsSqssumber daya di ASFF](asff-resourcedetails-awssqs.md)
+ [AwsSsmsumber daya di ASFF](asff-resourcedetails-awsssm.md)
+ [AwsStepFunctionssumber daya di ASFF](asff-resourcedetails-awsstepfunctions.md)
+ [AwsWafsumber daya di ASFF](asff-resourcedetails-awswaf.md)
+ [AwsXraysumber daya di ASFF](asff-resourcedetails-awsxray.md)
+ [CodeRepositoryobjek di ASFF](asff-resourcedetails-coderepository.md)
+ [Containerobjek di ASFF](asff-resourcedetails-container.md)
+ [Otherobjek di ASFF](asff-resourcedetails-other.md)

# Atribut sumber daya di ASFF
<a name="asff-resources-attributes"></a>

Berikut adalah deskripsi dan contoh untuk `Resources` objek dalam AWS Security Finding Format (ASFF). Untuk informasi lebih lanjut tentang bidang ini, lihat[Sumber daya](asff-required-attributes.md#Resources).

## ApplicationArn
<a name="asff-resources-applicationarn"></a>

Mengidentifikasi Nama Sumber Daya Amazon (ARN) dari aplikasi yang terlibat dalam temuan.

**Contoh**

```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```

## ApplicationName
<a name="asff-resources-applicationname"></a>

Mengidentifikasi nama aplikasi yang terlibat dalam temuan.

**Contoh**

```
"ApplicationName": "SampleApp"
```

## DataClassification
<a name="asff-resources-dataclassification"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html)Bidang ini memberikan informasi tentang data sensitif yang terdeteksi pada sumber daya.

**Contoh**

```
"DataClassification": {
    "DetailedResultsLocation": "Path_to_Folder_Or_File",
    "Result": {
        "MimeType": "text/plain",
        "SizeClassified": 2966026,
        "AdditionalOccurrences": false,
        "Status": {
            "Code": "COMPLETE",
            "Reason": "Unsupportedfield"
        },
       "SensitiveData": [
            {
                "Category": "PERSONAL_INFORMATION",
                "Detections": [
                    {
                        "Count": 34,
                        "Type": "GE_PERSONAL_ID",
                        "Occurrences": {
                            "LineRanges": [
                                {
                                    "Start": 1,
                                    "End": 10,
                                    "StartColumn": 20
                                }
                            ],
                            "Pages": [],
                            "Records": [],
                            "Cells": []
                        }
                    },
                    {
                        "Count": 59,
                        "Type": "EMAIL_ADDRESS",
                        "Occurrences": {
                            "Pages": [
                                {
                                    "PageNumber": 1,
                                    "OffsetRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                     },
                                    "LineRange": {
                                        "Start": 1,
                                        "End": 100,
                                        "StartColumn": 10
                                    }
                                }
                            ]
                        }
                    },
                    {
                        "Count": 2229,
                        "Type": "URL",
                        "Occurrences": {
                           "LineRanges": [
                               {
                                   "Start": 1,
                                   "End": 13
                               }
                           ]
                       }
                   },
                   {
                       "Count": 13826,
                       "Type": "NameDetection",
                       "Occurrences": {
                            "Records": [
                                {
                                    "RecordIndex": 1,
                                    "JsonPath": "$.ssn.value"
                                }
                            ]
                        }
                   },
                   {
                       "Count": 32,
                       "Type": "AddressDetection"
                   }
               ],
               "TotalCount": 32
           }
        ],
        "CustomDataIdentifiers": {
            "Detections": [
                 {
                     "Arn": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Name": "1712be25e7c7f53c731fe464f1c869b8", 
                     "Count": 2,
                 }
            ],
            "TotalCount": 2
        }
    }
}
```

## Detail
<a name="asff-resources-details"></a>

[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)Bidang ini memberikan informasi tambahan tentang sumber daya tunggal menggunakan objek yang sesuai. Setiap sumber daya harus disediakan dalam objek sumber daya terpisah di `Resources` objek.

Perhatikan bahwa jika ukuran temuan melebihi maksimum 240 KB, maka `Details` objek dihapus dari temuan. Untuk temuan kontrol yang menggunakan AWS Config aturan, Anda dapat melihat detail sumber daya di AWS Config konsol.

Security Hub CSPM menyediakan serangkaian detail sumber daya yang tersedia untuk jenis sumber daya yang didukung. Detail ini sesuai dengan nilai `Type` objek. Gunakan jenis yang disediakan bila memungkinkan.

Misalnya, jika sumber daya adalah bucket S3, maka atur sumber daya `Type` ke `AwsS3Bucket` dan berikan detail sumber daya di [`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket)objek.

[`Other`](asff-resourcedetails-other.md)Objek memungkinkan Anda untuk memberikan bidang dan nilai khusus. Anda menggunakan `Other` objek dalam kasus berikut:
+ Jenis sumber daya (nilai sumber daya`Type`) tidak memiliki objek detail yang sesuai. Untuk memberikan detail untuk sumber daya, Anda menggunakan [`Other`](asff-resourcedetails-other.md)objek.
+ Objek untuk jenis sumber daya tidak menyertakan semua bidang yang ingin Anda isi. Dalam hal ini, gunakan objek detail untuk jenis sumber daya untuk mengisi bidang yang tersedia. Gunakan `Other` objek untuk mengisi bidang yang tidak ada di objek khusus tipe.
+ Jenis sumber daya bukan salah satu jenis yang disediakan. Dalam hal ini, atur `Resource.Type` ke`Other`, dan gunakan `Other` objek untuk mengisi detail.

**Contoh**

```
"Details": {
  "AwsEc2Instance": {
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
    "ImageId": "ami-79fd7eee",
    "IpV4Addresses": ["1.1.1.1"],
    "IpV6Addresses": ["2001:db8:1234:1a2b::123"],
    "KeyName": "testkey",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "MetadataOptions": {
      "HttpEndpoint": "enabled",
      "HttpProtocolIpv6": "enabled",
      "HttpPutResponseHopLimit": 1,
      "HttpTokens": "optional",
      "InstanceMetadataTags": "disabled"
    },
    "NetworkInterfaces": [
    {
      "NetworkInterfaceId": "eni-e5aa89a3"
    }
    ],
    "SubnetId": "PublicSubnet",
    "Type": "i3.xlarge",
    "VirtualizationType": "hvm",
    "VpcId": "TestVPCIpv6"
  },
  "AwsS3Bucket": {
    "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
    "OwnerName": "acmes3bucketowner"
  },
  "Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}  
}
```

## Id
<a name="asff-resources-id"></a>

Pengidentifikasi untuk jenis sumber daya yang diberikan.

Untuk AWS sumber daya yang diidentifikasi oleh Amazon Resource Names (ARNs), ini adalah ARN.

Untuk AWS sumber daya yang kurang ARNs, ini adalah pengidentifikasi seperti yang didefinisikan oleh AWS layanan yang menciptakan sumber daya.

Untuk AWS non-sumber daya, ini adalah pengidentifikasi unik yang terkait dengan sumber daya.

**Contoh**

```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```

## Partition
<a name="asff-resources-partition"></a>

Partisi tempat sumber daya berada. Partisi adalah sekelompok Wilayah AWS. Masing-masing Akun AWS dicakup ke satu partisi.

Partisi berikut didukung:
+ `aws` – Wilayah AWS
+ `aws-cn`— Wilayah Tiongkok
+ `aws-us-gov` – AWS GovCloud (US) Region

**Contoh**

```
"Partition": "aws"
```

## Region
<a name="asff-resources-region"></a>

Kode untuk Wilayah AWS tempat sumber daya ini berada. Untuk daftar kode Wilayah, lihat [Titik akhir Regional](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).

**Contoh**

```
"Region": "us-west-2"
```

## ResourceRole
<a name="asff-resources-resourcerole"></a>

Mengidentifikasi peran sumber daya dalam temuan. Sumber daya adalah target aktivitas pencarian atau aktor yang melakukan aktivitas tersebut.

**Contoh**

```
"ResourceRole": "target"
```

## Tag
<a name="asff-resources-tags"></a>

Bidang ini menyediakan kunci tag dan informasi nilai untuk sumber daya yang terlibat dalam temuan. Anda dapat menandai [sumber daya yang didukung](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) oleh `GetResources` pengoperasian API AWS Resource Groups Tagging. Security Hub CSPM memanggil operasi ini melalui [peran terkait layanan](using-service-linked-roles.md) dan mengambil tag sumber daya jika `Resource.Id` bidang AWS Security Finding Format (ASFF) diisi dengan ARN sumber daya. AWS Sumber daya yang tidak valid diabaikan IDs . 

Anda dapat menambahkan tag sumber daya ke temuan yang dicerna CSPM Security Hub, termasuk temuan dari produk terintegrasi Layanan AWS dan pihak ketiga.

Menambahkan tag memberi tahu Anda tag yang dikaitkan dengan sumber daya pada saat temuan diproses. Anda dapat menyertakan `Tags` atribut hanya untuk sumber daya yang memiliki tag terkait. Jika sumber daya tidak memiliki tag terkait, jangan sertakan `Tags` atribut dalam temuan.

Dimasukkannya tag sumber daya dalam temuan menghilangkan kebutuhan untuk membangun jaringan pengayaan data atau secara manual memperkaya metadata temuan keamanan. Anda juga dapat menggunakan tag untuk mencari atau memfilter temuan dan wawasan dan membuat [aturan otomatisasi](automation-rules.md).

Untuk informasi tentang pembatasan yang berlaku untuk tag, lihat [Batas dan persyaratan penamaan tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).

Anda hanya dapat memberikan tag yang ada pada AWS sumber daya di bidang ini. Untuk menyediakan data yang tidak ditentukan dalam Format Pencarian AWS Keamanan, gunakan subbidang `Other` detail.

**Contoh**

```
"Tags": {
    "billingCode": "Lotus-1-2-3",
    "needsPatching": "true"
}
```

## Tipe
<a name="asff-resources-type"></a>

Jenis sumber daya yang Anda berikan detailnya.

Bila memungkinkan, gunakan salah satu jenis sumber daya yang disediakan, seperti `AwsEc2Instance` atau`AwsS3Bucket`.

Jika jenis sumber daya tidak cocok dengan salah satu jenis sumber daya yang disediakan, setel sumber daya `Type` ke`Other`, dan gunakan subbidang `Other` detail untuk mengisi detailnya.

Nilai yang didukung tercantum di bawah [Sumber Daya](asff-resources.md).

**Contoh**

```
"Type": "AwsS3Bucket"
```

# AwsAmazonMQsumber daya di ASFF
<a name="asff-resourcedetails-awsamazonmq"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsAmazonMQ` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsAmazonMQBroker
<a name="asff-resourcedetails-awsamazonmqbroker"></a>

`AwsAmazonMQBroker`memberikan informasi tentang broker Amazon MQ, yang merupakan lingkungan broker pesan yang berjalan di Amazon MQ.

Contoh berikut menunjukkan ASFF untuk `AwsAmazonMQBroker` objek. Untuk melihat deskripsi `AwsAmazonMQBroker` atribut, lihat [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsAmazonMQBroker": {
    "AutoMinorVersionUpgrade": true,
    "BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "BrokerName": "TestBroker",
    "Configuration": {
        "Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "Revision": 1
    },
    "DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
    "EncryptionOptions": {
        "UseAwsOwnedKey": true
    },
    "EngineType": "ActiveMQ",
    "EngineVersion": "5.17.2",
    "HostInstanceType": "mq.t2.micro",
    "Logs": {
        "Audit": false,
        "AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
        "General": false,
        "GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
    },
    "MaintenanceWindowStartTime": {
        "DayOfWeek": "MONDAY",
        "TimeOfDay": "22:00",
        "TimeZone": "UTC"
    },
    "PubliclyAccessible": true,
    "SecurityGroups": [
        "sg-021345abcdef6789"
    ],
    "StorageType": "efs",
    "SubnetIds": [
        "subnet-1234567890abcdef0",
        "subnet-abcdef01234567890"
    ],
    "Users": [
        {
            "Username": "admin"
        }
    ]
}
```

# AwsApiGatewaysumber daya di ASFF
<a name="asff-resourcedetails-awsapigateway"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsApiGateway` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsApiGatewayRestApi
<a name="asff-resourcedetails-awsapigatewayrestapi"></a>

`AwsApiGatewayRestApi`Objek berisi informasi tentang REST API di Amazon API Gateway versi 1.

Berikut ini adalah contoh `AwsApiGatewayRestApi` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayRestApi` atribut, lihat [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
AwsApiGatewayRestApi: {
    "Id": "exampleapi",
    "Name": "Security Hub",
    "Description": "AWS Security Hub",
    "CreatedDate": "2018-11-18T10:20:05-08:00",
    "Version": "2018-10-26",
    "BinaryMediaTypes" : ["-'*~1*'"],
    "MinimumCompressionSize": 1024,
    "ApiKeySource": "AWS_ACCOUNT_ID",
    "EndpointConfiguration": {
        "Types": [
            "REGIONAL"
        ]
    }
}
```

## AwsApiGatewayStage
<a name="asff-resourcedetails-awsapigatewaystage"></a>

`AwsApiGatewayStage`Objek menyediakan informasi tentang tahap Amazon API Gateway versi 1.

Berikut ini adalah contoh `AwsApiGatewayStage` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayStage` atribut, lihat [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsApiGatewayStage": {
    "DeploymentId": "n7hlmf",
    "ClientCertificateId": "a1b2c3", 
    "StageName": "Prod",
    "Description" : "Stage Description",
    "CacheClusterEnabled": false,
    "CacheClusterSize" : "1.6",
    "CacheClusterStatus": "NOT_AVAILABLE",
    "MethodSettings": [
        {
            "MetricsEnabled": true,
            "LoggingLevel": "INFO",
            "DataTraceEnabled": false,
            "ThrottlingBurstLimit": 100,
            "ThrottlingRateLimit": 5.0,
            "CachingEnabled": false,
            "CacheTtlInSeconds": 300,
            "CacheDataEncrypted": false,
            "RequireAuthorizationForCacheControl": true,
            "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
            "HttpMethod": "POST",
            "ResourcePath": "/echo"
        }
    ],
    "Variables": {"test": "value"},
    "DocumentationVersion": "2.0",
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "CanarySettings": {
        "PercentTraffic": 0.0,
        "DeploymentId": "ul73s8",
        "StageVariableOverrides" : [
            "String" : "String"
        ],
        "UseStageCache": false
    },
    "TracingEnabled": false,
    "CreatedDate": "2018-07-11T10:55:18-07:00",
    "LastUpdatedDate": "2020-08-26T11:51:04-07:00",
    "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```

## AwsApiGatewayV2Api
<a name="asff-resourcedetails-awsapigatewayv2api"></a>

`AwsApiGatewayV2Api`Objek berisi informasi tentang API versi 2 di Amazon API Gateway.

Berikut ini adalah contoh `AwsApiGatewayV2Api` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayV2Api` atribut, lihat [AwsApiGatewayV2 ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsApiGatewayV2Api": {
    "ApiEndpoint": "https://example.us-west-2.amazonaws.com",
    "ApiId": "a1b2c3d4",
    "ApiKeySelectionExpression": "$request.header.x-api-key",
    "CreatedDate": "2020-03-28T00:32:37Z",
   "Description": "ApiGatewayV2 Api",
   "Version": "string",
    "Name": "my-api",
    "ProtocolType": "HTTP",
    "RouteSelectionExpression": "$request.method $request.path",
   "CorsConfiguration": {
        "AllowOrigins": [ "*" ],
        "AllowCredentials": true,
        "ExposeHeaders": [ "string" ],
        "MaxAge": 3000,
        "AllowMethods": [
          "GET",
          "PUT",
          "POST",
          "DELETE",
          "HEAD"
        ],
        "AllowHeaders": [ "*" ]
    }
}
```

## AwsApiGatewayV2Panggung
<a name="asff-resourcedetails-awsapigatewayv2stage"></a>

`AwsApiGatewayV2Stage`berisi informasi tentang tahap versi 2 untuk Amazon API Gateway.

Berikut ini adalah contoh `AwsApiGatewayV2Stage` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayV2Stage` atribut, lihat [AwsApiGatewayV2 StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsApiGatewayV2Stage": {
    "CreatedDate": "2020-04-08T00:36:05Z",
    "Description" : "ApiGatewayV2",
    "DefaultRouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "DeploymentId": "x1zwyv",
    "LastUpdatedDate": "2020-04-08T00:36:13Z",
    "RouteSettings": {
        "DetailedMetricsEnabled": false,
        "LoggingLevel": "INFO",
        "DataTraceEnabled": true,
        "ThrottlingBurstLimit": 100,
        "ThrottlingRateLimit": 50
    },
    "StageName": "prod",
    "StageVariables": [
        "function": "my-prod-function"
    ],
    "AccessLogSettings": {
        "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
        "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
    },
    "AutoDeploy": false,
    "LastDeploymentStatusMessage": "Message",
    "ApiGatewayManaged": true,
}
```

# AwsAppSyncsumber daya di ASFF
<a name="asff-resourcedetails-awsappsync"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsAppSync` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsAppSyncGraphQLApi
<a name="asff-resourcedetails-awsappsyncgraphqlapi"></a>

`AwsAppSyncGraphQLApi`menyediakan informasi tentang AWS AppSync GraphQL API, yang merupakan konstruksi tingkat atas untuk aplikasi Anda.

Contoh berikut menunjukkan ASFF untuk `AwsAppSyncGraphQLApi` objek. Untuk melihat deskripsi `AwsAppSyncGraphQLApi` atribut, lihat [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsAppSyncGraphQLApi": {
    "AdditionalAuthenticationProviders": [
    {
    	"AuthenticationType": "AWS_LAMBDA",
    	"LambdaAuthorizerConfig": {
    		"AuthorizerResultTtlInSeconds": 300,
    		"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
    	}
    },
    {
    	"AuthenticationType": "AWS_IAM"
    }
    ],
    "ApiId": "021345abcdef6789",
    "Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
    "AuthenticationType": "API_KEY",
    "Id": "021345abcdef6789",
    "LogConfig": {
    	"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
    	"ExcludeVerboseContent": true,
    	"FieldLogLevel": "ALL"
    },
    "Name": "My AppSync App",
    "XrayEnabled": true,
}
```

# AwsAthenasumber daya di ASFF
<a name="asff-resourcedetails-awsathena"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsAthena` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsAthenaWorkGroup
<a name="asff-resourcedetails-awsathenaworkgroup"></a>

`AwsAthenaWorkGroup`memberikan informasi tentang workgroup Amazon Athena. Workgroup membantu Anda memisahkan pengguna, tim, aplikasi, atau beban kerja. Ini juga membantu Anda menetapkan batasan pada pemrosesan data dan melacak biaya.

Contoh berikut menunjukkan ASFF untuk `AwsAthenaWorkGroup` objek. Untuk melihat deskripsi `AwsAthenaWorkGroup` atribut, lihat [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsAthenaWorkGroup": {
    "Description": "My workgroup for prod workloads",
    "Name": "MyWorkgroup",
    "WorkgroupConfiguration" {
        "ResultConfiguration": {
            "EncryptionConfiguration": {
                "EncryptionOption": "SSE_KMS",
                "KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            }
        }
    },
        "State": "ENABLED"
}
```

# AwsAutoScalingsumber daya di ASFF
<a name="asff-resourcedetails-awsautoscaling"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsAutoScaling` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsAutoScalingAutoScalingGroup
<a name="asff-resourcedetails-awsautoscalingautoscalinggroup"></a>

`AwsAutoScalingAutoScalingGroup`Objek memberikan rincian tentang grup penskalaan otomatis.

Berikut ini adalah contoh `AwsAutoScalingAutoScalingGroup` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsAutoScalingAutoScalingGroup` atribut, lihat [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsAutoScalingAutoScalingGroup": {
        "CreatedTime": "2017-10-17T14:47:11Z",
        "HealthCheckGracePeriod": 300,
        "HealthCheckType": "EC2",
        "LaunchConfigurationName": "mylaunchconf",
        "LoadBalancerNames": [],
        "LaunchTemplate": {                            
            "LaunchTemplateId": "string",
            "LaunchTemplateName": "string",
            "Version": "string"
        },
        "MixedInstancesPolicy": {
            "InstancesDistribution": {
                "OnDemandAllocationStrategy": "prioritized",
                "OnDemandBaseCapacity": number,
                "OnDemandPercentageAboveBaseCapacity": number,
                "SpotAllocationStrategy": "lowest-price",
                "SpotInstancePools": number,
                "SpotMaxPrice": "string"
            },
            "LaunchTemplate": {
                "LaunchTemplateSpecification": {
                    "LaunchTemplateId": "string",
                    "LaunchTemplateName": "string",
                    "Version": "string"
                 },
                "CapacityRebalance": true,
                "Overrides": [
                    {
                       "InstanceType": "string",
                       "WeightedCapacity": "string"
                    }
                ]
            }
        }
    }
}
```

## AwsAutoScalingLaunchConfiguration
<a name="asff-resourcedetails-awsautoscalinglaunchconfiguration"></a>

`AwsAutoScalingLaunchConfiguration`Objek memberikan rincian tentang konfigurasi peluncuran.

Berikut ini adalah contoh `AwsAutoScalingLaunchConfiguration` temuan dalam AWS Security Finding Format (ASFF).

Untuk melihat deskripsi `AwsAutoScalingLaunchConfiguration` atribut, lihat [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
AwsAutoScalingLaunchConfiguration: {
    "LaunchConfigurationName": "newtest",
    "ImageId": "ami-058a3739b02263842",
    "KeyName": "55hundredinstance",
    "SecurityGroups": [ "sg-01fce87ad6e019725" ],
    "ClassicLinkVpcSecurityGroups": [],
    "UserData": "...Base64-Encoded user data..."
    "InstanceType": "a1.metal",
    "KernelId": "",
    "RamdiskId": "ari-a51cf9cc",
    "BlockDeviceMappings": [
        {
            "DeviceName": "/dev/sdh",
            "Ebs": {
                "VolumeSize": 30,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true,
                "SnapshotId": "snap-ffaa1e69",
                "VirtualName": "ephemeral1"
            }
        },
        {
            "DeviceName": "/dev/sdb",
            "NoDevice": true
        },
        {
            "DeviceName": "/dev/sda1",
            "Ebs": {
                "SnapshotId": "snap-02420cd3d2dea1bc0",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "DeleteOnTermination": true,
                "Encrypted": false
            }
        },
        {
            "DeviceName": "/dev/sdi",
            "Ebs": {
                "VolumeSize": 20,
                "VolumeType": "gp2",
                "DeleteOnTermination": false,
                "Encrypted": true
            }
        },
        {
            "DeviceName": "/dev/sdc",
            "NoDevice": true
        }
    ],
    "InstanceMonitoring": {
        "Enabled": false
    },
    "CreatedTime": 1620842933453,
    "EbsOptimized": false,
    "AssociatePublicIpAddress": true,
    "SpotPrice": "0.045"
}
```

# AwsBackupsumber daya di ASFF
<a name="asff-resourcedetails-awsbackup"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsBackup` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsBackupBackupPlan
<a name="asff-resourcedetails-awsbackupbackupplan"></a>

`AwsBackupBackupPlan`Objek memberikan informasi tentang rencana AWS Backup cadangan. Rencana AWS Backup cadangan adalah ekspresi kebijakan yang menentukan kapan dan bagaimana Anda ingin mencadangkan AWS sumber daya Anda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsBackupBackupPlan` objek. Untuk melihat deskripsi `AwsBackupBackupPlan` atribut, lihat [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsBackupBackupPlan": {
    "BackupPlan": {
    	"AdvancedBackupSettings": [{
    		"BackupOptions": {
    			"WindowsVSS":"enabled"
    		},
    		"ResourceType":"EC2"
    	}],
    	"BackupPlanName": "test",
    	"BackupPlanRule": [{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "DailyBackups",
    		"ScheduleExpression": "cron(0 5 ? * * *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    		},
    		{
    		"CompletionWindowMinutes": 10080,
    		"CopyActions": [{
    			"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
    			"Lifecycle": {
    				"DeleteAfterDays": 365,
    				"MoveToColdStorageAfterDays": 30
    			}
    		}],
    		"Lifecycle": {
    			"DeleteAfterDays": 35
    		},
    		"RuleName": "Monthly",
    		"ScheduleExpression": "cron(0 5 1 * ? *)",
    		"StartWindowMinutes": 480,
    		"TargetBackupVault": "Default"
    	}]
    },
    "BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
    "VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```

## AwsBackupBackupVault
<a name="asff-resourcedetails-awsbackupbackupvault"></a>

`AwsBackupBackupVault`Objek memberikan informasi tentang brankas AWS Backup cadangan. Brankas AWS Backup cadangan adalah wadah yang menyimpan dan mengatur cadangan Anda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsBackupBackupVault` objek. Untuk melihat deskripsi `AwsBackupBackupVault` atribut, lihat [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsBackupBackupVault": {
    "AccessPolicy": {
    	"Statement": [{
    		"Action": [
    			"backup:DeleteBackupVault",
    			"backup:DeleteBackupVaultAccessPolicy",
    			"backup:DeleteRecoveryPoint",
    			"backup:StartCopyJob",
    			"backup:StartRestoreJob",
    			"backup:UpdateRecoveryPointLifecycle"
    		],
    		"Effect": "Deny",
    		"Principal": {
    			"AWS": "*"
    		},
    		"Resource": "*"
    	}],
    	"Version": "2012-10-17"		 	 	 
    },
    "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "Notifications": {
    	"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
    	"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
    }
}
```

## AwsBackupRecoveryPoint
<a name="asff-resourcedetails-awsbackuprecoverypoint"></a>

`AwsBackupRecoveryPoint`Objek memberikan informasi tentang AWS Backup cadangan, juga disebut sebagai titik pemulihan. Titik AWS Backup pemulihan mewakili konten sumber daya pada waktu tertentu.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsBackupRecoveryPoint` objek. Untuk melihat deskripsi `AwsBackupBackupVault` atribut, lihat [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsBackupRecoveryPoint": {
    "BackupSizeInBytes": 0,
    "BackupVaultName": "aws/efs/automatic-backup-vault",
    "BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "CalculatedLifecycle": {
    	"DeleteAt": "2021-08-30T06:51:58.271Z",
    	"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
    },
    "CompletionDate": "2021-07-26T07:21:40.361Z",
    "CreatedBy": {
    	"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
    	"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
    	"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
    },
    "CreationDate": "2021-07-26T06:51:58.271Z",
    "EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
    "IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
    "IsEncrypted": true,
    "LastRestoreTime": "2021-07-26T06:51:58.271Z",
    "Lifecycle": {
    	"DeleteAfterDays": 35,
    	"MoveToColdStorageAfterDays": 15
    },
    "RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
    "ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
    "ResourceType": "EFS",
    "SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
    "Status": "COMPLETED",
    "StatusMessage": "Failure message",
    "StorageClass": "WARM"
}
```

# AwsCertificateManagersumber daya di ASFF
<a name="asff-resourcedetails-awscertificatemanager"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCertificateManager` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCertificateManagerCertificate
<a name="asff-resourcedetails-awscertificatemanagercertificate"></a>

`AwsCertificateManagerCertificate`Objek memberikan rincian tentang sertifikat AWS Certificate Manager (ACM).

Berikut ini adalah contoh `AwsCertificateManagerCertificate` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsCertificateManagerCertificate` atribut, lihat [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCertificateManagerCertificate": {
    "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
    "CreatedAt": "2019-05-24T18:12:02.000Z",
    "DomainName": "example.amazondomains.com",
    "DomainValidationOptions": [
        {
            "DomainName": "example.amazondomains.com",
            "ResourceRecord": {
                "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                "Type": "CNAME",
                "Value": "_example.acm-validations.aws."
             },
             "ValidationDomain": "example.amazondomains.com",
             "ValidationEmails": [sample_email@sample.com],
             "ValidationMethod": "DNS",
             "ValidationStatus": "SUCCESS"
        }
    ],
    "ExtendedKeyUsages": [
        {
            "Name": "TLS_WEB_SERVER_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.1"
        },
        {
            "Name": "TLS_WEB_CLIENT_AUTHENTICATION",
            "OId": "1.3.6.1.5.5.7.3.2"
        }
    ],
    "FailureReason": "",
    "ImportedAt": "2018-08-17T00:13:00.000Z",
    "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
    "IssuedAt": "2020-04-26T00:41:17.000Z",
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-1024",
    "KeyUsages": [
        {
            "Name": "DIGITAL_SIGNATURE",
        },
        {
            "Name": "KEY_ENCIPHERMENT",
        }
    ],
    "NotAfter": "2021-05-26T12:00:00.000Z",
    "NotBefore": "2020-04-26T00:00:00.000Z",
    "Options": {
        "CertificateTransparencyLoggingPreference": "ENABLED",
    }
    "RenewalEligibility": "ELIGIBLE",
    "RenewalSummary": {
        "DomainValidationOptions": [
            {
                "DomainName": "example.amazondomains.com",
                "ResourceRecord": {
                    "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
                    "Type": "CNAME",
                    "Value": "_example.acm-validations.aws.com",
                },
                "ValidationDomain": "example.amazondomains.com",
                "ValidationEmails": ["sample_email@sample.com"],
                "ValidationMethod": "DNS",
                "ValidationStatus": "SUCCESS"
            }
        ],
        "RenewalStatus": "SUCCESS",
        "RenewalStatusReason": "",
        "UpdatedAt": "2020-04-26T00:41:35.000Z",
    },
    "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=example.amazondomains.com",
    "SubjectAlternativeNames": ["example.amazondomains.com"],
    "Type": "AMAZON_ISSUED"
}
```

# AwsCloudFormationsumber daya di ASFF
<a name="asff-resourcedetails-awscloudformation"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCloudFormation` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCloudFormationStack
<a name="asff-resourcedetails-awscloudformationstack"></a>

`AwsCloudFormationStack`Objek memberikan rincian tentang AWS CloudFormation tumpukan yang bersarang sebagai sumber daya dalam template tingkat atas.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsCloudFormationStack` objek. Untuk melihat deskripsi `AwsCloudFormationStack` atribut, lihat [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCloudFormationStack": { 
	"Capabilities": [
		"CAPABILITY_IAM",
		"CAPABILITY_NAMED_IAM"
	],
	"CreationTime": "2022-02-18T15:31:53.161Z",
	"Description": "AWS CloudFormation Sample",
	"DisableRollback": true,
	"DriftInformation": {
		"StackDriftStatus": "DRIFTED"
	},
	"EnableTerminationProtection": false,
	"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
	"NotificationArns": [
		"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
	],
	"Outputs": [{
		"Description": "URL for newly created LAMP stack",
		"OutputKey": "WebsiteUrl",
		"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
	}],
	"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
	"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
	"StackName": "sample-stack",
	"StackStatus": "CREATE_COMPLETE",
	"StackStatusReason": "Success",
	"TimeoutInMinutes": 1
}
```

# AwsCloudFrontsumber daya di ASFF
<a name="asff-resourcedetails-awscloudfront"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCloudFront` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCloudFrontDistribution
<a name="asff-resourcedetails-awscloudfrontdistribution"></a>

`AwsCloudFrontDistribution`Objek memberikan rincian tentang konfigurasi CloudFront distribusi Amazon.

Berikut ini adalah contoh `AwsCloudFrontDistribution` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsCloudFrontDistribution` atribut, lihat [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCloudFrontDistribution": {
    "CacheBehaviors": {
        "Items": [
            {
               "ViewerProtocolPolicy": "https-only"
            }
         ]
    },
    "DefaultCacheBehavior": {
         "ViewerProtocolPolicy": "https-only"
    },
    "DefaultRootObject": "index.html",
    "DomainName": "d2wkuj2w9l34gt.cloudfront.net",
    "Etag": "E37HOT42DHPVYH",
    "LastModifiedTime": "2015-08-31T21:11:29.093Z",
    "Logging": {
         "Bucket": "myawslogbucket.s3.amazonaws.com",
         "Enabled": false,
         "IncludeCookies": false,
         "Prefix": "myawslog/"
     },
     "OriginGroups": {
          "Items": [
              {
                 "FailoverCriteria": {
                     "StatusCodes": {
                          "Items": [
                              200,
                              301,
                              404
                          ]
                          "Quantity": 3
                      }
                 }
              }
           ]
     },
     "Origins": {
           "Items": [
               {
                  "CustomOriginConfig": {
                      "HttpPort": 80,
                      "HttpsPort": 443,
                      "OriginKeepaliveTimeout": 60,
                      "OriginProtocolPolicy": "match-viewer",
                      "OriginReadTimeout": 30,
                      "OriginSslProtocols": {
                        "Items": ["SSLv3", "TLSv1"],
                        "Quantity": 2
                      }                       
                  }
               },                  
           ]
     },
                  "DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
                  "Id": "my-origin",
                  "OriginPath": "/production",
                  "S3OriginConfig": {
                      "OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
                  }
           ]
     },
     "Status": "Deployed",
     "ViewerCertificate": {
            "AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
            "Certificate": "ASCAJRRE5XYF52TKRY5M4",
            "CertificateSource": "iam",
            "CloudFrontDefaultCertificate": true,
            "IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
            "MinimumProtocolVersion": "TLSv1.2_2021",
            "SslSupportMethod": "sni-only"
      },
      "WebAclId": "waf-1234567890"
}
```

# AwsCloudTrailsumber daya di ASFF
<a name="asff-resourcedetails-awscloudtrail"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCloudTrail` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCloudTrailTrail
<a name="asff-resourcedetails-awscloudtrailtrail"></a>

`AwsCloudTrailTrail`Objek tersebut memberikan detail tentang AWS CloudTrail jejak.

Berikut ini adalah contoh `AwsCloudTrailTrail` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsCloudTrailTrail` atribut, lihat [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCloudTrailTrail": {
    "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
    "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
    "HasCustomEventSelectors": true,
    "HomeRegion": "us-west-2",
    "IncludeGlobalServiceEvents": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "KmsKeyId": "kmsKeyId",
    "LogFileValidationEnabled": true,
    "Name": "regression-trail",
    "S3BucketName": "cloudtrail-bucket",
    "S3KeyPrefix": "s3KeyPrefix",
    "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
    "SnsTopicName": "snsTopicName",
    "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```

# AwsCloudWatchsumber daya di ASFF
<a name="asff-resourcedetails-awscloudwatch"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCloudWatch` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCloudWatchAlarm
<a name="asff-resourcedetails-awscloudwatchalarm"></a>

`AwsCloudWatchAlarm`Objek ini memberikan detail tentang CloudWatch alarm Amazon yang menonton metrik atau melakukan tindakan saat alarm berubah status.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsCloudWatchAlarm` objek. Untuk melihat deskripsi `AwsCloudWatchAlarm` atribut, lihat [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCloudWatchAlarm": { 
	"ActionsEnabled": true,
	"AlarmActions": [
		"arn:aws:automate:region:ec2:stop",
		"arn:aws:automate:region:ec2:terminate"
	],
	"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
	"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
	"AlarmDescription": "Alarm Example",
	"AlarmName": "Example",
	"ComparisonOperator": "GreaterThanOrEqualToThreshold",
	"DatapointsToAlarm": 1,
	"Dimensions": [{
		"Name": "InstanceId",
		"Value": "i-1234567890abcdef0"
	}],
	"EvaluateLowSampleCountPercentile": "evaluate",
	"EvaluationPeriods": 1,
	"ExtendedStatistic": "p99.9",
	"InsufficientDataActions": [
		"arn:aws:automate:region:ec2:stop"
	],
	"MetricName": "Sample Metric",
	"Namespace": "YourNamespace",
	"OkActions": [
		"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
	],
	"Period": 1,
	"Statistic": "SampleCount",
	"Threshold": 12.3,
	"ThresholdMetricId": "t1",
	"TreatMissingData": "notBreaching",
	"Unit": "Kilobytes/Second"
}
```

# AwsCodeBuildsumber daya di ASFF
<a name="asff-resourcedetails-awscodebuild"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsCodeBuild` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsCodeBuildProject
<a name="asff-resourcedetails-awscodebuildproject"></a>

`AwsCodeBuildProject`Objek memberikan informasi tentang suatu AWS CodeBuild proyek.

Berikut ini adalah contoh `AwsCodeBuildProject` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsCodeBuildProject` atribut, lihat [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsCodeBuildProject": {
   "Artifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "SecondaryArtifacts": [
      {
          "ArtifactIdentifier": "string",
          "EncryptionDisabled": boolean,
          "Location": "string",
          "Name": "string",
          "NamespaceType": "string",
          "OverrideArtifactName": boolean,
          "Packaging": "string",
          "Path": "string",
          "Type": "string"
       }
   ],
   "EncryptionKey": "string",
   "Certificate": "string",
   "Environment": {
      "Certificate": "string",
      "EnvironmentVariables": [
           {
                "Name": "string",
                "Type": "string",
                "Value": "string"
           }
      ],
   "ImagePullCredentialsType": "string",
   "PrivilegedMode": boolean, 
   "RegistryCredential": {
       "Credential": "string",
       "CredentialProvider": "string"
   },
   "Type": "string"
   },
   "LogsConfig": {
        "CloudWatchLogs": {
             "GroupName": "string",
             "Status": "string",
             "StreamName": "string"
        },
        "S3Logs": {
             "EncryptionDisabled": boolean,
             "Location": "string",
             "Status": "string"
        }
   },
   "Name": "string",
   "ServiceRole": "string",
   "Source": {
        "Type": "string",
        "Location": "string",
        "GitCloneDepth": integer
   },
   "VpcConfig": {
        "VpcId": "string",
        "Subnets": ["string"],
        "SecurityGroupIds": ["string"]
   }
}
```

# AwsDmssumber daya di ASFF
<a name="asff-resourcedetails-awsdms"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsDms` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsDmsEndpoint
<a name="asff-resourcedetails-awsdmsendpoint"></a>

`AwsDmsEndpoint`Objek memberikan informasi tentang titik akhir AWS Database Migration Service (AWS DMS). Endpoint menyediakan koneksi, tipe penyimpanan data, dan informasi lokasi tentang penyimpanan data Anda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsDmsEndpoint` objek. Untuk melihat deskripsi `AwsDmsEndpoint` atribut, lihat [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsDmsEndpoint": {
    "CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
    "DatabaseName": "Test",
    "EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
    "EndpointIdentifier": "target-db",
    "EndpointType": "TARGET", 
    "EngineName": "mariadb",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Port": 3306,
    "ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
    "SslMode": "verify-ca",
    "Username": "admin"
}
```

## AwsDmsReplicationInstance
<a name="asff-resourcedetails-awsdmsreplicationinstance"></a>

`AwsDmsReplicationInstance`Objek memberikan informasi tentang contoh replikasi AWS Database Migration Service (AWS DMS). DMS menggunakan instance replikasi untuk terhubung ke penyimpanan data sumber Anda, membaca data sumber, dan memformat data untuk konsumsi oleh penyimpanan data target.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsDmsReplicationInstance` objek. Untuk melihat deskripsi `AwsDmsReplicationInstance` atribut, lihat [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsDmsReplicationInstance": {
    "AllocatedStorage": 50,
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1b",
    "EngineVersion": "3.5.1",
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "MultiAZ": false,
    "PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
    "PubliclyAccessible": true,
    "ReplicationInstanceClass": "dms.c5.xlarge",
    "ReplicationInstanceIdentifier": "second-replication-instance",
    "ReplicationSubnetGroup": {
        "ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
    },
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-003a34e205138138b"
        }
    ]
}
```

## AwsDmsReplicationTask
<a name="asff-resourcedetails-awsdmsreplicationtask"></a>

`AwsDmsReplicationTask`Objek memberikan informasi tentang tugas replikasi AWS Database Migration Service (AWS DMS). Tugas replikasi memindahkan sekumpulan data dari titik akhir sumber ke titik akhir target.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsDmsReplicationInstance` objek. Untuk melihat deskripsi `AwsDmsReplicationInstance` atribut, lihat [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsDmsReplicationTask": {
    "CdcStartPosition": "2023-08-28T14:26:22",
    "Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
    "MigrationType": "cdc",
    "ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
    "ReplicationTaskIdentifier": "test-task",
    "ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
    "SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
    "TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
    "TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```

# AwsDynamoDBsumber daya di ASFF
<a name="asff-resourcedetails-awsdynamodb"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsDynamoDB` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsDynamoDbTable
<a name="asff-resourcedetails-awsdynamodbtable"></a>

`AwsDynamoDbTable`Objek memberikan rincian tentang tabel Amazon DynamoDB.

Berikut ini adalah contoh `AwsDynamoDbTable` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsDynamoDbTable` atribut, lihat [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsDynamoDbTable": {
    "AttributeDefinitions": [   
        {        
            "AttributeName": "attribute1",
            "AttributeType": "value 1"
        },
        {
            "AttributeName": "attribute2",
            "AttributeType": "value 2"
        },
        {
            "AttributeName": "attribute3",
            "AttributeType": "value 3"
        }
    ],
    "BillingModeSummary": {
        "BillingMode": "PAY_PER_REQUEST",
        "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
    },
    "CreationDateTime": "2019-12-03T15:23:10.248Z",
    "DeletionProtectionEnabled": true,
    "GlobalSecondaryIndexes": [
        {
            "Backfilling": false,
            "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",                
            "IndexName": "standardsControlArnIndex",
            "IndexSizeBytes": 1862513,
            "IndexStatus": "ACTIVE",
            "ItemCount": 20,
            "KeySchema": [
                {
                    "AttributeName": "City",
                    "KeyType": "HASH"
                },     
                {
                    "AttributeName": "Date",
                    "KeyType": "RANGE"
                }
            ],      
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },     
            "ProvisionedThroughput": {
                "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
                "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
                "NumberOfDecreasesToday": 0,
                "ReadCapacityUnits": 100,
                "WriteCapacityUnits": 50
            },
        }
   ],
   "GlobalTableVersion": "V1",
   "ItemCount": 2705,
   "KeySchema": [
        {
            "AttributeName": "zipcode",
            "KeyType": "HASH"
        }
    ],
    "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
    "LatestStreamLabel": "2019-12-03T23:23:10.248",
    "LocalSecondaryIndexes": [
        {
            "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
            "IndexName": "CITY_DATE_INDEX_NAME",
            "KeySchema": [
                {
                    "AttributeName": "zipcode",
                    "KeyType": "HASH"
                }
            ],
            "Projection": {
                "NonKeyAttributes": ["predictorName"],
                "ProjectionType": "ALL"
            },  
        }
    ],
    "ProvisionedThroughput": {
        "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
        "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
        "NumberOfDecreasesToday": 0,
        "ReadCapacityUnits": 100,
        "WriteCapacityUnits": 50
    },
    "Replicas": [
        {
            "GlobalSecondaryIndexes":[
                {
                    "IndexName": "CITY_DATE_INDEX_NAME", 
                    "ProvisionedThroughputOverride": {
                        "ReadCapacityUnits": 10
                    }
                }
            ],
            "KmsMasterKeyId" : "KmsKeyId"
            "ProvisionedThroughputOverride": {
                "ReadCapacityUnits": 10
            },
            "RegionName": "regionName",
            "ReplicaStatus": "CREATING",
            "ReplicaStatusDescription": "replicaStatusDescription"
        }
    ],
    "RestoreSummary" : {
        "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
        "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
        "RestoreDateTime": "2020-06-22T17:40:12.322Z",
        "RestoreInProgress": true
    },
    "SseDescription": {
        "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
        "Status": "ENABLED",
        "SseType": "KMS",
        "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
    },
    "StreamSpecification" : {
        "StreamEnabled": true,
        "StreamViewType": "NEW_IMAGE"
    },
    "TableId": "example-table-id-1",
    "TableName": "example-table",
    "TableSizeBytes": 1862513,
    "TableStatus": "ACTIVE"
}
```

# AwsEc2sumber daya di ASFF
<a name="asff-resourcedetails-awsec2"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEc2` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEc2ClientVpnEndpoint
<a name="asff-resourcedetails-awsec2clientvpnendpoint"></a>

`AwsEc2ClientVpnEndpoint`Objek memberikan informasi tentang AWS Client VPN titik akhir. Titik akhir Client VPN adalah sumber daya yang Anda buat dan konfigurasikan untuk mengaktifkan dan mengelola sesi VPN klien. Ini adalah titik terminasi untuk semua sesi VPN klien.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2ClientVpnEndpoint` objek. Untuk melihat deskripsi `AwsEc2ClientVpnEndpoint` atribut, lihat [AwsEc2 ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2ClientVpnEndpoint": {
    "AuthenticationOptions": [
        {
            "MutualAuthentication": {
                "ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Type": "certificate-authentication"
        }
    ],
    "ClientCidrBlock": "10.0.0.0/22",
    "ClientConnectOptions": {
        "Enabled": false
    },
    "ClientLoginBannerOptions": {
        "Enabled": false
    },
    "ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
    "ConnectionLogOptions": {
        "Enabled": false
    },
    "Description": "test",
    "DnsServer": ["10.0.0.0"],
    "ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecurityGroupIdSet": [
        "sg-0f7a177b82b443691"
    ],
    "SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
    "SessionTimeoutHours": 24,
    "SplitTunnel": false,
    "TransportProtocol": "udp",
    "VpcId": "vpc-1a2b3c4d5e6f1a2b3",
    "VpnPort": 443
}
```

## AwsEc2Eip
<a name="asff-resourcedetails-awsec2eip"></a>

`AwsEc2Eip`Objek memberikan informasi tentang alamat IP Elastis.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2Eip` objek. Untuk melihat deskripsi `AwsEc2Eip` atribut, lihat [AwsEc2 EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2Eip": {
    "InstanceId": "instance1",
    "PublicIp": "192.0.2.04",
    "AllocationId": "eipalloc-example-id-1",
    "AssociationId": "eipassoc-example-id-1",
    "Domain": "vpc",
    "PublicIpv4Pool": "anycompany",
    "NetworkBorderGroup": "eu-central-1",
    "NetworkInterfaceId": "eni-example-id-1",
    "NetworkInterfaceOwnerId": "777788889999",
    "PrivateIpAddress": "192.0.2.03"
}
```

## AwsEc2Instance
<a name="asff-resourcedetails-awsec2instance"></a>

`AwsEc2Instance`Objek memberikan detail tentang instans Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2Instance` objek. Untuk melihat deskripsi `AwsEc2Instance` atribut, lihat [AwsEc2 InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2Instance": { 
    "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
    "ImageId": "ami-1234",
    "IpV4Addresses": [ "1.1.1.1" ],
    "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
    "KeyName": "my_keypair",
    "LaunchedAt": "2018-05-08T16:46:19.000Z",
    "MetadataOptions": {
    	"HttpEndpoint": "enabled",
    	"HttpProtocolIpv6": "enabled",
    	"HttpPutResponseHopLimit": 1,
    	"HttpTokens": "optional",
    	"InstanceMetadataTags": "disabled",
    },
    "Monitoring": {
    	"State": "disabled"
    },
    "NetworkInterfaces": [
      {
         "NetworkInterfaceId": "eni-e5aa89a3"
      }
    ],
    "SubnetId": "subnet-123",
    "Type": "i3.xlarge",
    "VpcId": "vpc-123"
}
```

## AwsEc2LaunchTemplate
<a name="asff-resourcedetails-awsec2launchtemplate"></a>

`AwsEc2LaunchTemplate`Objek berisi detail tentang template peluncuran Amazon Elastic Compute Cloud yang menentukan informasi konfigurasi instans.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2LaunchTemplate` objek. Untuk melihat deskripsi `AwsEc2LaunchTemplate` atribut, lihat [AwsEc2 LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2LaunchTemplate": {
    "DefaultVersionNumber": "1",
    "ElasticGpuSpecifications": ["string"],
    "ElasticInferenceAccelerators": ["string"],
    "Id": "lt-0a16e9802800bdd85",
    "ImageId": "ami-0d5eff06f840b45e9",
    "LatestVersionNumber": "1",
    "LaunchTemplateData": {
    	"BlockDeviceMappings": [{
    		"DeviceName": "/dev/xvda",
    		"Ebs": {
    			"DeleteonTermination": true,
    			"Encrypted": true,
    			"SnapshotId": "snap-01047646ec075f543",
    			"VolumeSize": 8,
    			"VolumeType:" "gp2"
    		}
    	}],
    	"MetadataOptions": {
    		"HttpTokens": "enabled",
    		"HttpPutResponseHopLimit" : 1
    	},
    	"Monitoring": {
    		"Enabled": true,
    	"NetworkInterfaces": [{
    		"AssociatePublicIpAddress" : true,
    	}],
    "LaunchTemplateName": "string",
    "LicenseSpecifications": ["string"],
    "SecurityGroupIds": ["sg-01fce87ad6e019725"],
    "SecurityGroups": ["string"],
    "TagSpecifications": ["string"]
}
```

## AwsEc2NetworkAcl
<a name="asff-resourcedetails-awsec2networkacl"></a>

`AwsEc2NetworkAcl`Objek berisi rincian tentang daftar kontrol akses jaringan Amazon EC2 (ACL).

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2NetworkAcl` objek. Untuk melihat deskripsi `AwsEc2NetworkAcl` atribut, lihat [AwsEc2 NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2NetworkAcl": {
    "IsDefault": false,
    "NetworkAclId": "acl-1234567890abcdef0",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234abcd",
    "Associations": [{
        "NetworkAclAssociationId": "aclassoc-abcd1234",
        "NetworkAclId": "acl-021345abcdef6789",
        "SubnetId": "subnet-abcd1234"
   }],
   "Entries": [{
        "CidrBlock": "10.24.34.0/23",
        "Egress": true,
        "IcmpTypeCode": {
            "Code": 10,
            "Type": 30
        },
        "Ipv6CidrBlock": "2001:DB8::/32",
        "PortRange": {
            "From": 20,
            "To": 40
        },
        "Protocol": "tcp",
        "RuleAction": "allow",
        "RuleNumber": 100
   }]
}
```

## AwsEc2NetworkInterface
<a name="asff-resourcedetails-awsec2networkinterface"></a>

`AwsEc2NetworkInterface`Objek menyediakan informasi tentang antarmuka jaringan Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2NetworkInterface` objek. Untuk melihat deskripsi `AwsEc2NetworkInterface` atribut, lihat [AwsEc2 NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2NetworkInterface": {
    "Attachment": {
        "AttachTime": "2019-01-01T03:03:21Z",
        "AttachmentId": "eni-attach-43348162",
        "DeleteOnTermination": true,
        "DeviceIndex": 123,
        "InstanceId": "i-1234567890abcdef0",
        "InstanceOwnerId": "123456789012",
        "Status": 'ATTACHED'
    },
    "SecurityGroups": [
        {
            "GroupName": "my-security-group",
            "GroupId": "sg-903004f8"
        },
    ],
    "NetworkInterfaceId": 'eni-686ea200',
    "SourceDestCheck": false
}
```

## AwsEc2RouteTable
<a name="asff-resourcedetails-awsec2routetable"></a>

`AwsEc2RouteTable`Objek memberikan informasi tentang tabel rute Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2RouteTable` objek. Untuk melihat deskripsi `AwsEc2RouteTable` atribut, lihat [AwsEc2 RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2RouteTable": {
    "AssociationSet": [{
    	"AssociationSet": {
    		"State": "associated"
    				},
    	"Main": true,
    	"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
    	"RouteTableId": "rtb-0a59bde9cf2548e34",
    }],
    "PropogatingVgwSet": [],
    "RouteTableId": "rtb-0a59bde9cf2548e34",
    "RouteSet": [
    	{
    		"DestinationCidrBlock": "10.24.34.0/23",
    		"GatewayId": "local",
    		"Origin": "CreateRouteTable",
    		"State": "active"
    	},
    	{
    		"DestinationCidrBlock": "10.24.34.0/24",
    		"GatewayId": "igw-0242c2d7d513fc5d3",
    		"Origin": "CreateRoute",
    		"State": "active"
    	}
    ],
    "VpcId": "vpc-0c250a5c33f51d456"
}
```

## AwsEc2SecurityGroup
<a name="asff-resourcedetails-awsec2securitygroup"></a>

`AwsEc2SecurityGroup`Objek tersebut menggambarkan grup keamanan Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2SecurityGroup` objek. Untuk melihat deskripsi `AwsEc2SecurityGroup` atribut, lihat [AwsEc2 SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2SecurityGroup": {
    "GroupName": "MySecurityGroup",
    "GroupId": "sg-903004f8",
    "OwnerId": "123456789012",
    "VpcId": "vpc-1a2b3c4d",
    "IpPermissions": [
        {
            "IpProtocol": "-1",
            "IpRanges": [],
            "UserIdGroupPairs": [
                {
                    "UserId": "123456789012",
                    "GroupId": "sg-903004f8"
                }
            ],
            "PrefixListIds": [
                {"PrefixListId": "pl-63a5400a"}
            ]
        },
        {
            "PrefixListIds": [],
            "FromPort": 22,
            "IpRanges": [
                {
                    "CidrIp": "203.0.113.0/24"
                }
            ],
            "ToPort": 22,
            "IpProtocol": "tcp",
            "UserIdGroupPairs": []
        }
    ]
}
```

## AwsEc2Subnet
<a name="asff-resourcedetails-awsec2subnet"></a>

`AwsEc2Subnet`Objek memberikan informasi tentang subnet di Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2Subnet` objek. Untuk melihat deskripsi `AwsEc2Subnet` atribut, lihat [AwsEc2 SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
AwsEc2Subnet: {
    "AssignIpv6AddressOnCreation": false,
    "AvailabilityZone": "us-west-2c",
    "AvailabilityZoneId": "usw2-az3",
    "AvailableIpAddressCount": 8185,
    "CidrBlock": "10.0.0.0/24",
    "DefaultForAz": false,
    "MapPublicIpOnLaunch": false,
    "OwnerId": "123456789012",
    "State": "available",
    "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
    "SubnetId": "subnet-d5436c93",
    "VpcId": "vpc-153ade70",
    "Ipv6CidrBlockAssociationSet": [{
        "AssociationId": "subnet-cidr-assoc-EXAMPLE",
        "Ipv6CidrBlock": "2001:DB8::/32",
        "CidrBlockState": "associated"
   }]
}
```

## AwsEc2TransitGateway
<a name="asff-resourcedetails-awsec2transitgateway"></a>

`AwsEc2TransitGateway`Objek ini memberikan detail tentang gateway transit Amazon EC2 yang menghubungkan cloud pribadi virtual (VPCs) dan jaringan lokal Anda.

Berikut ini adalah contoh `AwsEc2TransitGateway` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsEc2TransitGateway` atribut, lihat [AwsEc2 TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2TransitGateway": {
	"AmazonSideAsn": 65000,
	"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"AutoAcceptSharedAttachments": "disable",
	"DefaultRouteTableAssociation": "enable",
	"DefaultRouteTablePropagation": "enable",
	"Description": "sample transit gateway",
	"DnsSupport": "enable",
	"Id": "tgw-042ae6bf7a5c126c3",
	"MulticastSupport": "disable",
	"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
	"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
	"VpnEcmpSupport": "enable"
}
```

## AwsEc2Volume
<a name="asff-resourcedetails-awsec2volume"></a>

`AwsEc2Volume`Objek memberikan detail tentang volume Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2Volume` objek. Untuk melihat deskripsi `AwsEc2Volume` atribut, lihat [AwsEc2 VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2Volume": {
    "Attachments": [
      {
        "AttachTime": "2017-10-17T14:47:11Z",
        "DeleteOnTermination": true,
        "InstanceId": "i-123abc456def789g",
        "Status": "attached"
      }
     ],
    "CreateTime": "2020-02-24T15:54:30Z",
    "Encrypted": true,
    "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "Size": 80,
    "SnapshotId": "",
    "Status": "available"
}
```

## AwsEc2Vpc
<a name="asff-resourcedetails-awsec2vpc"></a>

`AwsEc2Vpc`Objek tersebut memberikan detail tentang VPC Amazon EC2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2Vpc` objek. Untuk melihat deskripsi `AwsEc2Vpc` atribut, lihat [AwsEc2 VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2Vpc": {
    "CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlock": "192.0.2.0/24",
            "CidrBlockState": "associated"
        }
    ],
    "DhcpOptionsId": "dopt-4e42ce28",
    "Ipv6CidrBlockAssociationSet": [
        {
            "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
            "CidrBlockState": "associated",
            "Ipv6CidrBlock": "192.0.2.0/24"
       }

    ],
    "State": "available"
}
```

## AwsEc2VpcEndpointService
<a name="asff-resourcedetails-awsec2vpcendpointservice"></a>

`AwsEc2VpcEndpointService`Objek berisi rincian tentang konfigurasi layanan untuk layanan titik akhir VPC.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2VpcEndpointService` objek. Untuk melihat deskripsi `AwsEc2VpcEndpointService` atribut, lihat [AwsEc2 VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2VpcEndpointService": {
    "ServiceType": [
      {
        "ServiceType": "Interface"
      }
    ],
    "ServiceId": "vpce-svc-example1",
    "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
    "ServiceState": "Available",
    "AvailabilityZones": [
      "us-east-1"
    ],
    "AcceptanceRequired": true,
    "ManagesVpcEndpoints": false,
    "NetworkLoadBalancerArns": [
      "arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
    ],
    "GatewayLoadBalancerArns": [],
    "BaseEndpointDnsNames": [
      "vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
    ],
    "PrivateDnsName": "my-private-dns"
}
```

## AwsEc2VpcPeeringConnection
<a name="asff-resourcedetails-awsec2vpcpeeringconnection"></a>

`AwsEc2VpcPeeringConnection`Objek memberikan rincian tentang koneksi jaringan antara dua VPCs.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEc2VpcPeeringConnection` objek. Untuk melihat deskripsi `AwsEc2VpcPeeringConnection` atribut, lihat [AwsEc2 VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEc2VpcPeeringConnection": { 
	"AccepterVpcInfo": {
		"CidrBlock": "10.0.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "10.0.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"ExpirationTime": "2022-02-18T15:31:53.161Z",
	"RequesterVpcInfo": {
		"CidrBlock": "192.168.0.0/28",
		"CidrBlockSet": [{
			"CidrBlock": "192.168.0.0/28"
		}],
		"Ipv6CidrBlockSet": [{
			"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
		}],
		"OwnerId": "012345678910",
		"PeeringOptions": {
			"AllowDnsResolutionFromRemoteVpc": true,
			"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
			"AllowEgressFromLocalVpcToRemoteClassicLink": true
		},
		"Region": "us-west-2",
		"VpcId": "vpc-i123456"
	},
	"Status": {
		"Code": "initiating-request",
		"Message": "Active"
	},
	"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```

# AwsEcrsumber daya di ASFF
<a name="asff-resourcedetails-awsecr"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEcr` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEcrContainerImage
<a name="asff-resourcedetails-awsecrcontainerimage"></a>

`AwsEcrContainerImage`Objek memberikan informasi tentang gambar Amazon ECR.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcrContainerImage` objek. Untuk melihat deskripsi `AwsEcrContainerImage` atribut, lihat [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEcrContainerImage": {
    "RegistryId": "123456789012",
    "RepositoryName": "repository-name",
    "Architecture": "amd64"
    "ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
    "ImageTags": ["00000000-0000-0000-0000-000000000000"],
    "ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```

## AwsEcrRepository
<a name="asff-resourcedetails-awsecrrepository"></a>

`AwsEcrRepository`Objek memberikan informasi tentang repositori Amazon Elastic Container Registry.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcrRepository` objek. Untuk melihat deskripsi `AwsEcrRepository` atribut, lihat [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEcrRepository": {
    "LifecyclePolicy": {
        "RegistryId": "123456789012",
    },  
    "RepositoryName": "sample-repo",
    "Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
    "ImageScanningConfiguration": {
        "ScanOnPush": true
    },
    "ImageTagMutability": "IMMUTABLE"
}
```

# AwsEcssumber daya di ASFF
<a name="asff-resourcedetails-awsecs"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEcs` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEcsCluster
<a name="asff-resourcedetails-awsecscluster"></a>

`AwsEcsCluster`Objek ini memberikan detail tentang kluster Amazon Elastic Container Service.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcsCluster` objek. Untuk melihat deskripsi `AwsEcsCluster` atribut, lihat [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
    "AwsEcsCluster": {
        "CapacityProviders": [],
        "ClusterSettings": [
            {
                "Name": "containerInsights",
                "Value": "enabled"
            }
        ],
        "Configuration": {
            "ExecuteCommandConfiguration": {
                "KmsKeyId": "kmsKeyId",
                "LogConfiguration": {
                    "CloudWatchEncryptionEnabled": true,
                    "CloudWatchLogGroupName": "cloudWatchLogGroupName",
                    "S3BucketName": "s3BucketName",
                    "S3EncryptionEnabled": true,
                    "S3KeyPrefix": "s3KeyPrefix"
                },
                "Logging": "DEFAULT"
            }
        }
        "DefaultCapacityProviderStrategy": [
            {
                "Base": 0,
                "CapacityProvider": "capacityProvider",
                "Weight": 1
            }
        ]
    }
```

## AwsEcsContainer
<a name="asff-resourcedetails-awsecscontainer"></a>

`AwsEcsContainer`Objek berisi detail tentang wadah Amazon ECS.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcsContainer` objek. Untuk melihat deskripsi `AwsEcsContainer` atribut, lihat [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEcsContainer": {
    "Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
    "MountPoints": [{
        "ContainerPath": "/mnt/etc",
        "SourceVolume": "vol-03909e9"
    }],
    "Name": "knote",
    "Privileged": true 
}
```

## AwsEcsService
<a name="asff-resourcedetails-awsecsservice"></a>

`AwsEcsService`Objek memberikan rincian tentang layanan dalam cluster Amazon ECS.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcsService` objek. Untuk melihat deskripsi `AwsEcsService` atribut, lihat [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEcsService": {
    "CapacityProviderStrategy": [
        {
            "Base": 12,
            "CapacityProvider": "",
            "Weight": ""
        }
    ],
    "Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
    "DeploymentConfiguration": {
        "DeploymentCircuitBreaker": {
            "Enable": false,
            "Rollback": false
        },
        "MaximumPercent": 200,
        "MinimumHealthyPercent": 100
    },
    "DeploymentController": "",
    "DesiredCount": 1,
    "EnableEcsManagedTags": false,
    "EnableExecuteCommand": false,
    "HealthCheckGracePeriodSeconds": 1,
    "LaunchType": "FARGATE",
    "LoadBalancers": [
        {
            "ContainerName": "",
            "ContainerPort": 23,
            "LoadBalancerName": "",
            "TargetGroupArn": ""
        }
    ],
    "Name": "sample-app-service",
    "NetworkConfiguration": {
        "AwsVpcConfiguration": {
            "Subnets": [
                "Subnet-example1",
                "Subnet-example2"
            ],
        "SecurityGroups": [
                "Sg-0ce48e9a6e5b457f5"
        ],
        "AssignPublicIp": "ENABLED"
        }
    },
    "PlacementConstraints": [
        {
            "Expression": "",
            "Type": ""
        }
    ],
    "PlacementStrategies": [
        {
            "Field": "",
            "Type": ""
        }
    ],
    "PlatformVersion": "LATEST",
    "PropagateTags": "",
    "Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
    "SchedulingStrategy": "REPLICA",
    "ServiceName": "sample-app-service",
    "ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
    "ServiceRegistries": [
        {
            "ContainerName": "",
            "ContainerPort": 1212,
            "Port": 1221,
            "RegistryArn": ""
        }
    ],
    "TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```

## AwsEcsTask
<a name="asff-resourcedetails-awsecstask"></a>

`AwsEcsTask`Objek memberikan detail tentang tugas Amazon ECS. 

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcsTask` objek. Untuk melihat deskripsi `AwsEcsTask` atribut, lihat [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEcsTask": {
	"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
	"CreatedAt": "1557134011644",
	"Group": "service:fargate-service",
	"StartedAt": "1557134011644",
	"StartedBy": "ecs-svc/1234567890123456789",
	"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
	"Version": 3,
	"Volumes": [{
		"Name": "string",
		"Host": {
			"SourcePath": "string"
		}
	}],
	"Containers": {
		"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
		"MountPoints": [{
			"ContainerPath": "/mnt/etc",
			"SourceVolume": "vol-03909e9"
		}],
		"Name": "knote",
		"Privileged": true
	}
}
```

## AwsEcsTaskDefinition
<a name="asff-resourcedetails-awsecstaskdefinition"></a>

`AwsEcsTaskDefinition`Objek berisi rincian tentang definisi tugas. Definisi tugas menjelaskan definisi kontainer dan volume tugas Amazon Elastic Container Service.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEcsTaskDefinition` objek. Untuk melihat deskripsi `AwsEcsTaskDefinition` atribut, lihat [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
    "AwsEcsTaskDefinition": {
        "ContainerDefinitions": [
            {
                "Command": ['ruby', 'hi.rb'],
                "Cpu":128,
                "Essential": true,
                "HealthCheck": {
                    "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
                    "Interval": 10,
                    "Retries": 3,
                    "StartPeriod": 5,
                    "Timeout": 20
                },
                "Image": "tongueroo/sinatra:latest",
                "Interactive": true,
                "Links": [],
                "LogConfiguration": {
                    "LogDriver": "awslogs",
                    "Options": {
                        "awslogs-group": "/ecs/sinatra-hi",
                        "awslogs-region": "ap-southeast-1",
                        "awslogs-stream-prefix": "ecs"
                    },
                    "SecretOptions": []
                    
                },
                "MemoryReservation": 128,
                "Name": "web",
                "PortMappings": [
                    {
                        "ContainerPort": 4567,
                        "HostPort":4567,
                        "Protocol": "tcp"
                    }
                ],
                "Privileged": true,
                "StartTimeout": 10,
                "StopTimeout": 100,
            }
        ],
        "Family": "sinatra-hi",
        "NetworkMode": "host",
        "RequiresCompatibilities": ["EC2"],
        "Status": "ACTIVE",
        "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
    }
```

# AwsEfssumber daya di ASFF
<a name="asff-resourcedetails-awsefs"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEfs` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEfsAccessPoint
<a name="asff-resourcedetails-awsefsaccesspoint"></a>

`AwsEfsAccessPoint`Objek memberikan detail tentang file yang disimpan di Amazon Elastic File System.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEfsAccessPoint` objek. Untuk melihat deskripsi `AwsEfsAccessPoint` atribut, lihat [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEfsAccessPoint": { 
	"AccessPointId": "fsap-05c4c0e79ba0b118a",
	"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
	"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
	"FileSystemId": "fs-0f8137f731cb32146",
	"PosixUser": {
		"Gid": "1000",
		"SecondaryGids": ["0", "4294967295"],
		"Uid": "1234"
	},
	"RootDirectory": {
		"CreationInfo": {
			"OwnerGid": "1000",
			"OwnerUid": "1234",
			"Permissions": "777"
		},
		"Path": "/tmp/example"
	}
}
```

# AwsEkssumber daya di ASFF
<a name="asff-resourcedetails-awseks"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEks` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEksCluster
<a name="asff-resourcedetails-awsekscluster"></a>

`AwsEksCluster`Objek tersebut memberikan detail tentang cluster Amazon EKS.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEksCluster` objek. Untuk melihat deskripsi `AwsEksCluster` atribut, lihat [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
{
  "AwsEksCluster": {
    "Name": "example",
    "Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
    "CreatedAt": 1565804921.901,
    "Version": "1.12",
    "RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
    "ResourcesVpcConfig": {
      "EndpointPublicAccess": false,
      "SubnetIds": [
        "subnet-021345abcdef6789",
        "subnet-abcdef01234567890",
        "subnet-1234567890abcdef0"
      ],
      "SecurityGroupIds": [
        "sg-abcdef01234567890"
      ]
    },
    "Logging": {
      "ClusterLogging": [
        {
          "Types": [
            "api",
            "audit",
            "authenticator",
            "controllerManager",
            "scheduler"
          ],
          "Enabled": true
        }
      ]
    },
    "Status": "CREATING",
    "CertificateAuthorityData": {},
  }
}
```

# AwsElasticBeanstalksumber daya di ASFF
<a name="asff-resourcedetails-awselasticbeanstalk"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsElasticBeanstalk` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsElasticBeanstalkEnvironment
<a name="asff-resourcedetails-awselasticbeanstalkenvironment"></a>

`AwsElasticBeanstalkEnvironment`Objek berisi rincian tentang AWS Elastic Beanstalk lingkungan.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsElasticBeanstalkEnvironment` objek. Untuk melihat deskripsi `AwsElasticBeanstalkEnvironment` atribut, lihat [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsElasticBeanstalkEnvironment": {
    "ApplicationName": "MyApplication",
    "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
    "DateCreated": "2021-04-30T01:38:01.090Z",
    "DateUpdated": "2021-04-30T01:38:01.090Z",
    "Description": "Example description of my awesome application",
    "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
    "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
    "EnvironmentId": "e-abcd1234",
    "EnvironmentLinks": [
        {
            "EnvironmentName": "myexampleapp-env",
            "LinkName": "myapplicationLink"
        }
    ],
    "EnvironmentName": "myapplication-env",
    "OptionSettings": [
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSize",
            "Value": "100"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "Timeout",
            "Value": "600"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "BatchSizeType",
            "Value": "Percentage"
        },
        {
            "Namespace": "aws:elasticbeanstalk:command",
            "OptionName": "IgnoreHealthCheck",
            "Value": "false"
        },
        {
            "Namespace": "aws:elasticbeanstalk:application",
            "OptionName": "Application Healthcheck URL",
            "Value": "TCP:80"
        }
    ],
    "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
    "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
    "Status": "Ready",
    "Tier": {
        "Name": "WebServer"
       "Type": "Standard"
       "Version": "1.0"
    },
    "VersionLabel": "Sample Application"
}
```

# AwsElasticSearchsumber daya di ASFF
<a name="asff-resourcedetails-awselasticsearch"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsElasticSearch` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsElasticSearchDomain
<a name="asff-resourcedetails-awselasticsearchdomain"></a>

`AwsElasticSearchDomain`Objek memberikan detail tentang domain OpenSearch Layanan Amazon.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsElasticSearchDomain` objek. Untuk melihat deskripsi `AwsElasticSearchDomain` atribut, lihat [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsElasticSearchDomain": {
    "AccessPolicies": "string",
    "DomainStatus": {
           "DomainId": "string",
           "DomainName": "string",
           "Endpoint": "string",
           "Endpoints": {
                  "string": "string"
           }
    },
    "DomainEndpointOptions": {
           "EnforceHTTPS": boolean,
           "TLSSecurityPolicy": "string"
    },
    "ElasticsearchClusterConfig": {
           "DedicatedMasterCount": number,
           "DedicatedMasterEnabled": boolean,
           "DedicatedMasterType": "string",
           "InstanceCount": number,
           "InstanceType": "string",
           "ZoneAwarenessConfig": {
                  "AvailabilityZoneCount": number
           },
           "ZoneAwarenessEnabled": boolean
    },
    "ElasticsearchVersion": "string",
    "EncryptionAtRestOptions": {
           "Enabled": boolean,
           "KmsKeyId": "string"
    },
    "LogPublishingOptions": {
           "AuditLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "IndexSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           },
           "SearchSlowLogs": {
                  "CloudWatchLogsLogGroupArn": "string",
                  "Enabled": boolean
           }
    },
    "NodeToNodeEncryptionOptions": {
           "Enabled": boolean
    },
    "ServiceSoftwareOptions": {
           "AutomatedUpdateDate": "string",
           "Cancellable": boolean,
           "CurrentVersion": "string",
           "Description": "string",
           "NewVersion": "string",
           "UpdateAvailable": boolean,
           "UpdateStatus": "string"
    },
    "VPCOptions": {
           "AvailabilityZones": [
                 "string"
           ],
           "SecurityGroupIds": [
                 "string"
           ],
           "SubnetIds": [
                 "string"
           ],
          "VPCId": "string"
    }
}
```

# AwsElbsumber daya di ASFF
<a name="asff-resourcedetails-awselb"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsElb` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsElbLoadBalancer
<a name="asff-resourcedetails-awselbloadbalancer"></a>

`AwsElbLoadBalancer`Objek berisi rincian tentang Classic Load Balancer.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsElbLoadBalancer` objek. Untuk melihat deskripsi `AwsElbLoadBalancer` atribut, lihat [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsElbLoadBalancer": {
    "AvailabilityZones": ["us-west-2a"],
    "BackendServerDescriptions": [
         {
            "InstancePort": 80,
            "PolicyNames": ["doc-example-policy"]
        }
    ],
    "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
    "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "CreatedTime": "2020-08-03T19:22:44.637Z",
    "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/png",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    },
    "Instances": [
        {
            "InstanceId": "i-example"
        }
    ],
    "ListenerDescriptions": [
        {
            "Listener": {
                "InstancePort": 443,
                "InstanceProtocol": "HTTPS",
                "LoadBalancerPort": 443,
                "Protocol": "HTTPS",
                "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
            },
            "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
        }
    ],
    "LoadBalancerAttributes": {
        "AccessLog": {
            "EmitInterval": 60,
            "Enabled": true,
            "S3BucketName": "amzn-s3-demo-bucket",
            "S3BucketPrefix": "doc-example-prefix"
        },
        "ConnectionDraining": {
            "Enabled": false,
            "Timeout": 300
        },
        "ConnectionSettings": {
            "IdleTimeout": 30
        },
        "CrossZoneLoadBalancing": {
            "Enabled": true
        },
        "AdditionalAttributes": [{
            "Key": "elb.http.desyncmitigationmode",
            "Value": "strictest"
        }]

    },
    "LoadBalancerName": "example-load-balancer",
    "Policies": {
        "AppCookieStickinessPolicies": [
            {
                "CookieName": "",
                "PolicyName": ""
            }
        ],
        "LbCookieStickinessPolicies": [
            {
                "CookieExpirationPeriod": 60,
                "PolicyName": "my-example-cookie-policy"
            }
        ],
        "OtherPolicies": [
            "my-PublicKey-policy",
            "my-authentication-policy",
            "my-SSLNegotiation-policy",
            "my-ProxyProtocol-policy",
            "ELBSecurityPolicy-2015-03"
        ]
    },
    "Scheme": "internet-facing",
    "SecurityGroups": ["sg-example"],
    "SourceSecurityGroup": {
        "GroupName": "my-elb-example-group",
        "OwnerAlias": "444455556666"
    },
    "Subnets": ["subnet-example"],
    "VpcId": "vpc-a01106c2"
}
```

## AwsElbv2LoadBalancer
<a name="asff-resourcedetails-awselbv2loadbalancer"></a>

`AwsElbv2LoadBalancer`Objek memberikan informasi tentang penyeimbang beban.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsElbv2LoadBalancer` objek. Untuk melihat deskripsi `AwsElbv2LoadBalancer` atribut, lihat [AwsElbv2 LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsElbv2LoadBalancer": {
                        "AvailabilityZones": {
                            "SubnetId": "string",
                            "ZoneName": "string"
                        },
                        "CanonicalHostedZoneId": "string",
                        "CreatedTime": "string",
                        "DNSName": "string",
                        "IpAddressType": "string",
                        "LoadBalancerAttributes": [
                            {
                                "Key": "string",
                                "Value": "string"
                            }
                        ],
                        "Scheme": "string",
                        "SecurityGroups": [ "string" ],
                        "State": {
                            "Code": "string",
                            "Reason": "string"
                        },
                        "Type": "string",
                        "VpcId": "string"
                    }
```

# AwsEventBridgesumber daya di ASFF
<a name="asff-resourcedetails-awsevent"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsEventBridge` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsEventSchemasRegistry
<a name="asff-resourcedetails-awseventschemasregistry"></a>

`AwsEventSchemasRegistry`Objek memberikan informasi tentang registri EventBridge skema Amazon. Skema mendefinisikan struktur peristiwa yang dikirim ke. EventBridge Registries skema adalah wadah yang mengumpulkan dan secara logis mengelompokkan skema Anda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEventSchemasRegistry` objek. Untuk melihat deskripsi `AwsEventSchemasRegistry` atribut, lihat [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEventSchemasRegistry": {
    "Description": "This is an example event schema registry.",
    "RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
    "RegistryName": "schema-registry"
}
```

## AwsEventsEndpoint
<a name="asff-resourcedetails-awseventsendpoint"></a>

`AwsEventsEndpoint`Objek memberikan informasi tentang titik akhir EventBridge global Amazon. Titik akhir dapat meningkatkan ketersediaan aplikasi Anda dengan membuatnya toleran terhadap kesalahan regional.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEventsEndpoint` objek. Untuk melihat deskripsi `AwsEventsEndpoint` atribut, lihat [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEventsEndpoint": {
    "Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
    "Description": "This is a sample endpoint.",
    "EndpointId": "04k1exajoy.veo",
    "EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
    "EventBuses": [
        {
            "EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
        },
        {
            "EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
        }
    ],
    "Name": "my-endpoint",
    "ReplicationConfig": {
        "State": "ENABLED"
    },
    "RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
    "RoutingConfig": {
        "FailoverConfig": {
            "Primary": {
                "HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Secondary": {
                "Route": "us-east-2"
            }
        }
    },
    "State": "ACTIVE"
}
```

## AwsEventsEventbus
<a name="asff-resourcedetails-awseventseventbus"></a>

`AwsEventsEventbus`Objek memberikan informasi tentang titik akhir EventBridge global Amazon. Titik akhir dapat meningkatkan ketersediaan aplikasi Anda dengan membuatnya toleran terhadap kesalahan regional.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsEventsEventbus` objek. Untuk melihat deskripsi `AwsEventsEventbus` atribut, lihat [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsEventsEventbus": 
    "Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
    "Name": "my-event-bus",
    "Policy": "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```

# AwsGuardDutysumber daya di ASFF
<a name="asff-resourcedetails-awsguardduty"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsGuardDuty` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsGuardDutyDetector
<a name="asff-resourcedetails-awsguarddutydetector"></a>

`AwsGuardDutyDetector`Objek tersebut memberikan informasi tentang GuardDuty detektor Amazon. Detektor adalah objek yang mewakili GuardDuty layanan. Detektor diperlukan GuardDuty untuk menjadi operasional.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsGuardDutyDetector` objek. Untuk melihat deskripsi `AwsGuardDutyDetector` atribut, lihat [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsGuardDutyDetector": {
    "FindingPublishingFrequency": "SIX_HOURS",
    "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
    "Status": "ENABLED",
    "DataSources": {
        "CloudTrail": {
            "Status": "ENABLED"
        },
        "DnsLogs": {
            "Status": "ENABLED"
        },
        "FlowLogs": {
            "Status": "ENABLED"
        },
        "S3Logs": {
             "Status": "ENABLED"
         },
         "Kubernetes": {
             "AuditLogs": {
                "Status": "ENABLED"
             }
         },
         "MalwareProtection": {
             "ScanEc2InstanceWithFindings": {
                "EbsVolumes": {
                    "Status": "ENABLED"
                 }
             },
            "ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
         }
    }
}
```

# AwsIamsumber daya di ASFF
<a name="asff-resourcedetails-awsiam"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsIam` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsIamAccessKey
<a name="asff-resourcedetails-awsiamaccesskey"></a>

`AwsIamAccessKey`Objek berisi rincian tentang kunci akses IAM yang terkait dengan temuan.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsIamAccessKey` objek. Untuk melihat deskripsi `AwsIamAccessKey` atribut, lihat [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsIamAccessKey": { 
                        "AccessKeyId": "string",
                        "AccountId": "string",
                        "CreatedAt": "string",
                        "PrincipalId": "string",
                        "PrincipalName": "string",
                        "PrincipalType": "string",
                        "SessionContext": {
                            "Attributes": {
                                "CreationDate": "string",
                                "MfaAuthenticated": boolean
                            },
                            "SessionIssuer": {
                                "AccountId": "string",
                                "Arn": "string",
                                "PrincipalId": "string",
                                "Type": "string",
                                "UserName": "string"
                            }
                        },
                        "Status": "string"
                    }
```

## AwsIamGroup
<a name="asff-resourcedetails-awsiamgroup"></a>

`AwsIamGroup`Objek berisi rincian tentang grup IAM.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsIamGroup` objek. Untuk melihat deskripsi `AwsIamGroup` atribut, lihat [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsIamGroup": {
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
            "PolicyName": "ExampleManagedAccess",
        }
    ],
    "CreateDate": "2020-04-28T14:08:37.000Z",
    "GroupId": "AGPA4TPS3VLP7QEXAMPLE",
    "GroupName": "Example_User_Group",
    "GroupPolicyList": [
        {
            "PolicyName": "ExampleGroupPolicy"
        }
    ],
    "Path": "/"
}
```

## AwsIamPolicy
<a name="asff-resourcedetails-awsiampolicy"></a>

`AwsIamPolicy`Objek mewakili kebijakan izin IAM.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsIamPolicy` objek. Untuk melihat deskripsi `AwsIamPolicy` atribut, lihat [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsIamPolicy": {
    "AttachmentCount": 1,
    "CreateDate": "2017-09-14T08:17:29.000Z",
    "DefaultVersionId": "v1",
    "Description": "Example IAM policy",
    "IsAttachable": true,
    "Path": "/",
    "PermissionsBoundaryUsageCount": 5,
    "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
    "PolicyName": "EXAMPLE-MANAGED-POLICY",
    "PolicyVersionList": [
        {
            "VersionId": "v1",
            "IsDefaultVersion": true,
            "CreateDate": "2017-09-14T08:17:29.000Z"
        }
    ],
    "UpdateDate": "2017-09-14T08:17:29.000Z"
}
```

## AwsIamRole
<a name="asff-resourcedetails-awsiamrole"></a>

`AwsIamRole`Objek berisi informasi tentang peran IAM, termasuk semua kebijakan peran.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsIamRole` objek. Untuk melihat deskripsi `AwsIamRole` atribut, lihat [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsIamRole": {
    "AssumeRolePolicyDocument": "{'Version': '2012-10-17',		 	 	 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
    "AttachedManagedPolicies": [
        {
            "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
            "PolicyName": "Example policy 1"
        },
        {
            "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
            "PolicyName": "Example policy 2"
        }
        ],
        "CreateDate": "2020-03-14T07:19:14.000Z",
        "InstanceProfileList": [
            {
                "Arn": "arn:aws:iam::333333333333:ExampleProfile",
                "CreateDate": "2020-03-11T00:02:27Z",
                "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
                "InstanceProfileName": "ExampleInstanceProfile",
                "Path": "/",
                "Roles": [
                    {
                       "Arn": "arn:aws:iam::444455556666:role/example-role",
                        "AssumeRolePolicyDocument": "",
                        "CreateDate": "2020-03-11T00:02:27Z",
                        "Path": "/",
                        "RoleId": "AROAJ52OTH4H7LEXAMPLE",
                        "RoleName": "example-role",
                    }
                ]
            }
        ],
        "MaxSessionDuration": 3600,
        "Path": "/",
        "PermissionsBoundary": {
            "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
            "PermissionsBoundaryType": "PermissionsBoundaryPolicy"
        },
        "RoleId": "AROA4TPS3VLEXAMPLE",
        "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
        "RolePolicyList": [
            {
                "PolicyName": "Example role policy"
            }
        ]
    }
```

## AwsIamUser
<a name="asff-resourcedetails-awsiamuser"></a>

`AwsIamUser`Objek memberikan informasi tentang pengguna.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsIamUser` objek. Untuk melihat deskripsi `AwsIamUser` atribut, lihat [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsIamUser": {
    "AttachedManagedPolicies": [
        {
            "PolicyName": "ExamplePolicy",
            "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
        }
    ],
    "CreateDate": "2018-01-26T23:50:05.000Z",
    "GroupList": [],
    "Path": "/",
    "PermissionsBoundary" : {
        "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
        "PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
    },
    "UserId": "AIDACKCEVSQ6C2EXAMPLE",
    "UserName": "ExampleUser",
    "UserPolicyList": [
        {
            "PolicyName": "InstancePolicy"
        }
    ]
}
```

# AwsKinesissumber daya di ASFF
<a name="asff-resourcedetails-awskinesis"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsKinesis` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsKinesisStream
<a name="asff-resourcedetails-awskinesisstream"></a>

`AwsKinesisStream`Objek ini memberikan detail tentang Amazon Kinesis Data Streams.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsKinesisStream` objek. Untuk melihat deskripsi `AwsKinesisStream` atribut, lihat [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsKinesisStream": { 
	"Name": "test-vir-kinesis-stream",
	"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
	"RetentionPeriodHours": 24,
	"ShardCount": 2,
	"StreamEncryption": {
		"EncryptionType": "KMS",
		"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
	}
}
```

# AwsKmssumber daya di ASFF
<a name="asff-resourcedetails-awskms"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsKms` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsKmsKey
<a name="asff-resourcedetails-awskmskey"></a>

`AwsKmsKey`Objek memberikan rincian tentang file AWS KMS key.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsKmsKey` objek. Untuk melihat deskripsi `AwsKmsKey` atribut, lihat [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsKmsKey": {
                        "AWSAccountId": "string",
                        "CreationDate": "string",
                        "Description": "string",
                        "KeyId": "string",
                        "KeyManager": "string",
                        "KeyRotationStatus": boolean,
                        "KeyState": "string",
                        "Origin": "string"
                    }
```

# AwsLambda
<a name="asff-resourcedetails-awslambda"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsLambda` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsLambdaFunction
<a name="asff-resourcedetails-awslambdafunction"></a>

`AwsLambdaFunction`Objek memberikan rincian tentang konfigurasi fungsi Lambda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsLambdaFunction` objek. Untuk melihat deskripsi `AwsLambdaFunction` atribut, lihat [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsLambdaFunction": {
    "Architectures": [
        "x86_64"
    ],
    "Code": {
        "S3Bucket": "amzn-s3-demo-bucket",
        "S3Key": "samplekey",
        "S3ObjectVersion": "2",
        "ZipFile": "myzip.zip"
    },
    "CodeSha256": "1111111111111abcdef",
    "DeadLetterConfig": {
        "TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
    },
    "Environment": {
        "Variables": {
            "Stage": "foobar"
         },
        "Error": {
            "ErrorCode": "Sample-error-code",
            "Message": "Caller principal is a manager."
         }
     },
    "FunctionName": "CheckOut",
    "Handler": "main.py:lambda_handler",
    "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
    "LastModified": "2001-09-11T09:00:00Z",
    "Layers": {
        "Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
        "CodeSize": 169
    },
    "PackageType": "Zip",
    "RevisionId": "23",
    "Role": "arn:aws:iam::123456789012:role/Accounting-Role",
    "Runtime": "go1.7",
    "Timeout": 15,
    "TracingConfig": {
        "Mode": "Active"
    },
    "Version": "$LATEST$",
    "VpcConfig": {
        "SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
         "SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
    },
    "MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
    "MemorySize": 2048
}
```

## AwsLambdaLayerVersion
<a name="asff-resourcedetails-awslambdalayerversion"></a>

`AwsLambdaLayerVersion`Objek memberikan rincian tentang versi lapisan Lambda.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsLambdaLayerVersion` objek. Untuk melihat deskripsi `AwsLambdaLayerVersion` atribut, lihat [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsLambdaLayerVersion": {
    "Version": 2,
    "CompatibleRuntimes": [
        "java8"
    ],
    "CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```

# AwsMsksumber daya di ASFF
<a name="asff-resourcedetails-awsmsk"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsMsk` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsMskCluster
<a name="asff-resourcedetails-awsmskcluster"></a>

`AwsMskCluster`Objek tersebut memberikan informasi tentang cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK).

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsMskCluster` objek. Untuk melihat deskripsi `AwsMskCluster` atribut, lihat [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsMskCluster": {
        "ClusterInfo": {
            "ClientAuthentication": {
                "Sasl": {
                    "Scram": {
                        "Enabled": true
                    },
                    "Iam": {
                        "Enabled": true
                    }
                },
                "Tls": {
                    "CertificateAuthorityArnList": [],
                    "Enabled": false
                },
                "Unauthenticated": {
                    "Enabled": false
                }
            },
            "ClusterName": "my-cluster",
            "CurrentVersion": "K2PWKAKR8XB7XF",
            "EncryptionInfo": {
                "EncryptionAtRest": {
                    "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                },
                "EncryptionInTransit": {
                    "ClientBroker": "TLS",
                    "InCluster": true
                }
            },
            "EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
            "NumberOfBrokerNodes": 3
        }
}
```

# AwsNetworkFirewallsumber daya di ASFF
<a name="asff-resourcedetails-awsnetworkfirewall"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsNetworkFirewall` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsNetworkFirewallFirewall
<a name="asff-resourcedetails-awsnetworkfirewallfirewall"></a>

`AwsNetworkFirewallFirewall`Objek berisi rincian tentang AWS Network Firewall firewall.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsNetworkFirewallFirewall` objek. Untuk melihat deskripsi `AwsNetworkFirewallFirewall` atribut, lihat [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsNetworkFirewallFirewall": {
    "DeleteProtection": false,
    "FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall", 
    "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
    "FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
    "FirewallName": "testfirewall",
    "FirewallPolicyChangeProtection": false,
    "SubnetChangeProtection": false,
    "SubnetMappings": [
        {
            "SubnetId": "subnet-0183481095e588cdc"
        },
        {
            "SubnetId": "subnet-01f518fad1b1c90b0"
        }
    ],
    "VpcId": "vpc-40e83c38"
}
```

## AwsNetworkFirewallFirewallPolicy
<a name="asff-resourcedetails-awsnetworkfirewallfirewallpolicy"></a>

`AwsNetworkFirewallFirewallPolicy`Objek memberikan rincian tentang kebijakan firewall. Kebijakan firewall mendefinisikan perilaku firewall jaringan.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsNetworkFirewallFirewallPolicy` objek. Untuk melihat deskripsi `AwsNetworkFirewallFirewallPolicy` atribut, lihat [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsNetworkFirewallFirewallPolicy": {
   "FirewallPolicy": {  
    "StatefulRuleGroupReferences": [
        {
            "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
        }
    ],
    "StatelessDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
    "StatelessRuleGroupReferences": [
       {
          "Priority": 1,
          "ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
       }
     ]
   },
   "FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
   "FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
   "FirewallPolicyName": "InitialFirewall",
   "Description": "Initial firewall"
}
```

## AwsNetworkFirewallRuleGroup
<a name="asff-resourcedetails-awsnetworkfirewallrulegroup"></a>

`AwsNetworkFirewallRuleGroup`Objek memberikan rincian tentang kelompok AWS Network Firewall aturan. Kelompok aturan digunakan untuk memeriksa dan mengontrol lalu lintas jaringan. Kelompok aturan stateless berlaku untuk paket individu. Kelompok aturan stateful berlaku untuk paket dalam konteks arus lalu lintas mereka.

Grup aturan direferensikan dalam kebijakan firewall.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsNetworkFirewallRuleGroup` objek. Untuk melihat deskripsi `AwsNetworkFirewallRuleGroup` atribut, lihat [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh - kelompok aturan tanpa kewarganegaraan**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 600,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
    "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
    "RuleGroupName": "Stateless-1"
    "Description": "Example of a stateless rule group",
    "Type": "STATELESS",
    "RuleGroup": {
        "RulesSource": {
            "StatelessRulesAndCustomActions": {
                "CustomActions": [],
                "StatelessRules": [
                    {
                        "Priority": 1,
                        "RuleDefinition": {
                            "Actions": [
                                "aws:pass"
                            ],
                            "MatchAttributes": {
                                "DestinationPorts": [
                                    {
                                        "FromPort": 443,
                                        "ToPort": 443
                                    }
                                ],
                                "Destinations": [
                                    {
                                        "AddressDefinition": "192.0.2.0/24"
                                    }
                                ],
                                "Protocols": [
                                            6
                                ],
                                "SourcePorts": [
                                    {
                                        "FromPort": 0,
                                        "ToPort": 65535
                                    }
                                ],
                                "Sources": [
                                    {
                                         "AddressDefinition": "198.51.100.0/24"
                                    }
                                ]
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Contoh - kelompok aturan stateful**

```
"AwsNetworkFirewallRuleGroup": {
    "Capacity": 100,
    "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
    "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
    "RuleGroupName": "ExampleRuleGroup",
    "Description": "Example of a stateful rule group",
    "Type": "STATEFUL",
    "RuleGroup": {
        "RuleSource": {
             "StatefulRules": [
                 {
                     "Action": "PASS",
                     "Header": {
                         "Destination": "Any",
                         "DestinationPort": "443",
                         "Direction": "ANY",
                         "Protocol": "TCP",
                         "Source": "Any",
                         "SourcePort": "Any"
                     },
                     "RuleOptions": [
                         {
                            "Keyword": "sid:1"
                         }
                     ]      
                 }
             ]
         }
    }
}
```

Berikut ini adalah daftar contoh nilai yang valid untuk `AwsNetworkFirewallRuleGroup` atribut:
+ `Action`

  Nilai yang valid: `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`

  Nilai yang valid: `IP` `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`

  Nilai yang valid: `FIN` `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`

  Nilai yang valid: `FIN` `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`

# AwsOpenSearchServicesumber daya di ASFF
<a name="asff-resourcedetails-awsopensearchservice"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsOpenSearchService` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsOpenSearchServiceDomain
<a name="asff-resourcedetails-awsopensearchservicedomain"></a>

`AwsOpenSearchServiceDomain`Objek berisi informasi tentang domain OpenSearch Layanan Amazon.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsOpenSearchServiceDomain` objek. Untuk melihat deskripsi `AwsOpenSearchServiceDomain` atribut, lihat [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsOpenSearchServiceDomain": {
    "AccessPolicies": "IAM_Id",
    "AdvancedSecurityOptions": {
        "Enabled": true,
        "InternalUserDatabaseEnabled": true,
        "MasterUserOptions": {
            "MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
            "MasterUserName": "third-master-use",
            "MasterUserPassword": "some-password"
        }
    },
    "Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
    "ClusterConfig": {
        "InstanceType": "c5.large.search",
        "InstanceCount": 1,
        "DedicatedMasterEnabled": true,
        "ZoneAwarenessEnabled": false,
        "ZoneAwarenessConfig": {
            "AvailabilityZoneCount": 2
        },
        "DedicatedMasterType": "c5.large.search",
        "DedicatedMasterCount": 3,
        "WarmEnabled": true,
        "WarmCount": 3,
        "WarmType": "ultrawarm1.large.search"
    },
    "DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
    "DomainEndpointOptions": {
        "EnforceHTTPS": false,
        "TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
        "CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
        "CustomEndpointEnabled": true,
        "CustomEndpoint": "example.com"
    },
    "DomainEndpoints": {
        "vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
    },
    "DomainName": "my-domain",
    "EncryptionAtRestOptions": {
        "Enabled": false,
        "KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
    },
    "EngineVersion": "7.1",
    "Id": "123456789012",
    "LogPublishingOptions": {
        "IndexSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
            "Enabled": true
        },
        "SearchSlowLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        },
        "AuditLogs": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
            "Enabled": true
        }
    },
    "NodeToNodeEncryptionOptions": {
        "Enabled": true
    },
    "ServiceSoftwareOptions": {
        "AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
        "Cancellable": false,
        "CurrentVersion": "R20210331",
        "Description": "There is no software update available for this domain.",
        "NewVersion": "OpenSearch_1.0",
        "UpdateAvailable": false,
        "UpdateStatus": "COMPLETED",
        "OptionalDeployment": false
    },
    "VpcOptions": {
        "SecurityGroupIds": [
            "sg-2a3a4a5a"
        ],
        "SubnetIds": [
            "subnet-1a2a3a4a"
        ],
    }
}
```

# AwsRdssumber daya di ASFF
<a name="asff-resourcedetails-awsrds"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsRds` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsRdsDbCluster
<a name="asff-resourcedetails-awsrdsdbcluster"></a>

`AwsRdsDbCluster`Objek memberikan rincian tentang cluster database Amazon RDS.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsDbCluster` objek. Untuk melihat deskripsi `AwsRdsDbCluster` atribut, lihat [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsDbCluster": {
    "ActivityStreamStatus": "stopped",
    "AllocatedStorage": 1,
    "AssociatedRoles": [
        {
        "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
        "Status": "PENDING"
        }
    ],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1c",
        "us-east-1e"
    ],
    "BackupRetentionPeriod": 1,
    "ClusterCreateTime": "2020-06-22T17:40:12.322Z",
    "CopyTagsToSnapshot": true,
    "CrossAccountClone": false,
    "CustomEndpoints": [],
    "DatabaseName": "Sample name",
    "DbClusterIdentifier": "database-3",
    "DbClusterMembers": [
        {
        "DbClusterParameterGroupStatus": "in-sync",
        "DbInstanceIdentifier": "database-3-instance-1",
        "IsClusterWriter": true,
        "PromotionTier": 1,
        }
    ],
    "DbClusterOptionGroupMemberships": [],
    "DbClusterParameterGroup": "cluster-parameter-group",
    "DbClusterResourceId": "cluster-example",
    "DbSubnetGroup": "subnet-group",
    "DeletionProtection": false,
    "DomainMemberships": [],
    "Status": "modifying",
    "EnabledCloudwatchLogsExports": [
        "audit",
        "error",
        "general",
        "slowquery"
    ],
    "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
    "Engine": "aurora-mysql",
    "EngineMode": "provisioned",
    "EngineVersion": "5.7.mysql_aurora.2.03.4",
    "HostedZoneId": "ZONE1",
    "HttpEndpointEnabled": false,
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "MasterUsername": "admin",
    "MultiAz": false,
    "Port": 3306,
    "PreferredBackupWindow": "04:52-05:22",
    "PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
    "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
    "ReadReplicaIdentifiers": [],
    "Status": "Modifying",
    "StorageEncrypted": true,
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example-1"
        }
    ],
}
```

## AwsRdsDbClusterSnapshot
<a name="asff-resourcedetails-awsrdsdbclustersnapshot"></a>

`AwsRdsDbClusterSnapshot`Objek berisi informasi tentang snapshot cluster Amazon RDS DB.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsDbClusterSnapshot` objek. Untuk melihat deskripsi `AwsRdsDbClusterSnapshot` atribut, lihat [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsDbClusterSnapshot": {
    "AllocatedStorage": 0,
    "AvailabilityZones": [
        "us-east-1a",
        "us-east-1d",
        "us-east-1e"
    ],
    "ClusterCreateTime": "2020-06-12T13:23:15.577Z",
    "DbClusterIdentifier": "database-2",
    "DbClusterSnapshotAttributes": [{
        "AttributeName": "restore",
        "AttributeValues": ["123456789012"]
    }],
    "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
    "Engine": "aurora",
    "EngineVersion": "5.6.10a",
    "IamDatabaseAuthenticationEnabled": false,
    "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
    "LicenseModel": "aurora",
    "MasterUsername": "admin",
    "PercentProgress": 100,
    "Port": 0,
    "SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
    "SnapshotType": "automated",
    "Status": "available",
    "StorageEncrypted": true,
    "VpcId": "vpc-faf7e380"
}
```

## AwsRdsDbInstance
<a name="asff-resourcedetails-awsrdsdbinstance"></a>

`AwsRdsDbInstance`Objek memberikan detail tentang instans Amazon RDS DB.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsDbInstance` objek. Untuk melihat deskripsi `AwsRdsDbInstance` atribut, lihat [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsDbInstance": {
    "AllocatedStorage": 20,
    "AssociatedRoles": [],
    "AutoMinorVersionUpgrade": true,
    "AvailabilityZone": "us-east-1d",
    "BackupRetentionPeriod": 7,
    "CaCertificateIdentifier": "certificate1",
    "CharacterSetName": "",
    "CopyTagsToSnapshot": true,
    "DbClusterIdentifier": "",
    "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
    "DbInstanceClass": "db.t2.micro",
    "DbInstanceIdentifier": "database-1",
    "DbInstancePort": 0,
    "DbInstanceStatus": "available",
    "DbiResourceId": "db-EXAMPLE123",
    "DbName": "",
    "DbParameterGroups": [
        {
            "DbParameterGroupName": "default.mysql5.7",
            "ParameterApplyStatus": "in-sync"
        }
    ],
    "DbSecurityGroups": [],                                                                                                                                                                                                 
    "DbSubnetGroup": {
        "DbSubnetGroupName": "my-group-123abc",
        "DbSubnetGroupDescription": "My subnet group",
        "VpcId": "vpc-example1",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-123abc",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1d"
                },
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-456def",
                "SubnetAvailabilityZone": {
                    "Name": "us-east-1c"
                },
                "SubnetStatus": "Active"
            }
      ],
        "DbSubnetGroupArn": ""
    },
    "DeletionProtection": false,
    "DomainMemberships": [],
    "EnabledCloudWatchLogsExports": [],
    "Endpoint": {
        "address": "database-1.example.us-east-1.rds.amazonaws.com",
        "port": 3306,
        "hostedZoneId": "ZONEID1"
    },
    "Engine": "mysql",
    "EngineVersion": "5.7.22",
    "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
    "IamDatabaseAuthenticationEnabled": false,
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "Iops": "",
    "KmsKeyId": "",
    "LatestRestorableTime": "2020-06-24T05:50:00.000Z",
    "LicenseModel": "general-public-license",
    "ListenerEndpoint": "",
    "MasterUsername": "admin",
    "MaxAllocatedStorage": 1000,
    "MonitoringInterval": 60,
    "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
    "MultiAz": false,
    "OptionGroupMemberships": [
        {
            "OptionGroupName": "default:mysql-5-7",
            "Status": "in-sync"
        }
    ],
    "PreferredBackupWindow": "03:57-04:27",
    "PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
    "PendingModifiedValues": {
        "DbInstanceClass": "",
        "AllocatedStorage": "",
        "MasterUserPassword": "",
        "Port": "",
        "BackupRetentionPeriod": "",
        "MultiAZ": "",
        "EngineVersion": "",
        "LicenseModel": "",
        "Iops": "",
        "DbInstanceIdentifier": "",
        "StorageType": "",
        "CaCertificateIdentifier": "",
        "DbSubnetGroupName": "",
        "PendingCloudWatchLogsExports": "",
        "ProcessorFeatures": []
    },
    "PerformanceInsightsEnabled": false,
    "PerformanceInsightsKmsKeyId": "",
    "PerformanceInsightsRetentionPeriod": "",
    "ProcessorFeatures": [],
    "PromotionTier": "",
    "PubliclyAccessible": false,
    "ReadReplicaDBClusterIdentifiers": [],
    "ReadReplicaDBInstanceIdentifiers": [],
    "ReadReplicaSourceDBInstanceIdentifier": "",
    "SecondaryAvailabilityZone": "",
    "StatusInfos": [],
    "StorageEncrypted": false,
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Timezone": "",
    "VpcSecurityGroups": [
        {
            "VpcSecurityGroupId": "sg-example1",
            "Status": "active"
        }
    ]
}
```

## AwsRdsDbSecurityGroup
<a name="asff-resourcedetails-awsrdsdbsecuritygroup"></a>

`AwsRdsDbSecurityGroup`Objek berisi informasi tentang Amazon Relational Database Service

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsDbSecurityGroup` objek. Untuk melihat deskripsi `AwsRdsDbSecurityGroup` atribut, lihat [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsDbSecurityGroup": {
    "DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
    "DbSecurityGroupDescription": "default",
    "DbSecurityGroupName": "mysecgroup",
    "Ec2SecurityGroups": [
        {
          "Ec2SecurityGroupuId": "myec2group",
          "Ec2SecurityGroupName": "default",
          "Ec2SecurityGroupOwnerId": "987654321021",
          "Status": "authorizing"
        }
    ],
    "IpRanges": [
        {
          "Cidrip": "0.0.0.0/0",
          "Status": "authorizing"
        }
    ],
    "OwnerId": "123456789012",
    "VpcId": "vpc-1234567f"
}
```

## AwsRdsDbSnapshot
<a name="asff-resourcedetails-awsrdsdbsnapshot"></a>

`AwsRdsDbSnapshot`Objek berisi detail tentang snapshot cluster Amazon RDS DB.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsDbSnapshot` objek. Untuk melihat deskripsi `AwsRdsDbSnapshot` atribut, lihat [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsDbSnapshot": {
    "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
    "DbInstanceIdentifier": "database-1",
    "SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
    "Engine": "mysql",
    "AllocatedStorage": 20,
    "Status": "available",
    "Port": 3306,
    "AvailabilityZone": "us-east-1d",
    "VpcId": "vpc-example1",
    "InstanceCreateTime": "2020-06-22T17:40:12.322Z",
    "MasterUsername": "admin",
    "EngineVersion": "5.7.22",
    "LicenseModel": "general-public-license",
    "SnapshotType": "automated",
    "Iops": null,
    "OptionGroupName": "default:mysql-5-7",
    "PercentProgress": 100,
    "SourceRegion": null,
    "SourceDbSnapshotIdentifier": "",
    "StorageType": "gp2",
    "TdeCredentialArn": "",
    "Encrypted": false,
    "KmsKeyId": "",
    "Timezone": "",
    "IamDatabaseAuthenticationEnabled": false,
    "ProcessorFeatures": [],
    "DbiResourceId": "db-resourceexample1"
}
```

## AwsRdsEventSubscription
<a name="asff-resourcedetails-awsrdseventsubscription"></a>

`AwsRdsEventSubscription`Berisi rincian tentang langganan pemberitahuan acara RDS. Langganan memungkinkan RDS untuk memposting acara ke topik SNS.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRdsEventSubscription` objek. Untuk melihat deskripsi `AwsRdsEventSubscription` atribut, lihat [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRdsEventSubscription": {
    "CustSubscriptionId": "myawsuser-secgrp",
    "CustomerAwsId": "111111111111",
    "Enabled": true,
    "EventCategoriesList": [
        "configuration change",
        "failure"
    ],
    "EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
    "SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
    "SourceIdsList": [
        "si-sample",
        "mysqldb-rr"
    ],
    "SourceType": "db-security-group",
    "Status": "creating",
    "SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```

# AwsRedshiftsumber daya di ASFF
<a name="asff-resourcedetails-awsredshift"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsRedshift` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsRedshiftCluster
<a name="asff-resourcedetails-awsredshiftcluster"></a>

`AwsRedshiftCluster`Objek berisi detail tentang cluster Amazon Redshift.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRedshiftCluster` objek. Untuk melihat deskripsi `AwsRedshiftCluster` atribut, lihat [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRedshiftCluster": {
    "AllowVersionUpgrade": true,
    "AutomatedSnapshotRetentionPeriod": 1,
    "AvailabilityZone": "us-west-2d",
    "ClusterAvailabilityStatus": "Unavailable",
    "ClusterCreateTime": "2020-08-03T19:22:44.637Z",
    "ClusterIdentifier": "redshift-cluster-1",
    "ClusterNodes": [
        {
            "NodeRole": "LEADER",
            "PrivateIPAddress": "192.0.2.108",
            "PublicIPAddress": "198.51.100.29"
        },
        {
            "NodeRole": "COMPUTE-0",
            "PrivateIPAddress": "192.0.2.22",
            "PublicIPAddress": "198.51.100.63"
        },
        {
             "NodeRole": "COMPUTE-1",
             "PrivateIPAddress": "192.0.2.224",
             "PublicIPAddress": "198.51.100.226"
        }
        ],
    "ClusterParameterGroups": [
        { 
            "ClusterParameterStatusList": [
                {
                    "ParameterName": "max_concurrency_scaling_clusters",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "enable_user_activity_logging",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "auto_analyze",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "query_group",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "datestyle",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "extra_float_digits",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "search_path",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "statement_timeout",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "wlm_json_configuration",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "require_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                },
                {
                    "ParameterName": "use_fips_ssl",
                    "ParameterApplyStatus": "in-sync",
                    "ParameterApplyErrorDescription": "parameterApplyErrorDescription"
                }
            ],
            "ParameterApplyStatus": "in-sync",
            "ParameterGroupName": "temp"
        }
    ], 
    "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
    "ClusterRevisionNumber": 17498,
    "ClusterSecurityGroups": [
        {
            "ClusterSecurityGroupName": "default",
            "Status": "active"
        }
    ],
    "ClusterSnapshotCopyStatus": {
        "DestinationRegion": "us-west-2",
        "ManualSnapshotRetentionPeriod": -1,
        "RetentionPeriod": 1,
        "SnapshotCopyGrantName": "snapshotCopyGrantName"
    },
    "ClusterStatus": "available",
    "ClusterSubnetGroupName": "default",
    "ClusterVersion": "1.0",
    "DBName": "dev",
    "DeferredMaintenanceWindows": [
        {
            "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
            "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
            "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
        }
     ],
    "ElasticIpStatus": {
        "ElasticIp": "203.0.113.29",
        "Status": "active"
    },
    "ElasticResizeNumberOfNodeOptions": "4",  
    "Encrypted": false,
    "Endpoint": {
        "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
        "Port": 5439
    },
    "EnhancedVpcRouting": false,
    "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
    "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
    "HsmStatus": {
        "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
        "HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
        "Status": "applying"
    },
    "IamRoles": [
        {
             "ApplyStatus": "in-sync",
             "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"   
        }
    ],
    "KmsKeyId": "kmsKeyId",
    "LoggingStatus": {
        "BucketName": "amzn-s3-demo-bucket",
        "LastFailureMessage": "test message",
        "LastFailureTime": "2020-08-09T13:00:00.000Z",
        "LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
        "LoggingEnabled": true,
        "S3KeyPrefix": "/"
    },
    "MaintenanceTrackName": "current",
    "ManualSnapshotRetentionPeriod": -1,
    "MasterUsername": "awsuser",
    "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
    "NodeType": "dc2.large",
    "NumberOfNodes": 2,
    "PendingActions": [],
    "PendingModifiedValues": {
        "AutomatedSnapshotRetentionPeriod": 0,
        "ClusterIdentifier": "clusterIdentifier",
        "ClusterType": "clusterType",
        "ClusterVersion": "clusterVersion",
        "EncryptionType": "None",
        "EnhancedVpcRouting": false,
        "MaintenanceTrackName": "maintenanceTrackName",
        "MasterUserPassword": "masterUserPassword",
        "NodeType": "dc2.large",
        "NumberOfNodes": 1,
        "PubliclyAccessible": true
    },
    "PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
    "PubliclyAccessible": true,
    "ResizeInfo": {
        "AllowCancelResize": true,
        "ResizeType": "ClassicResize"
    },
    "RestoreStatus": {
        "CurrentRestoreRateInMegaBytesPerSecond": 15,
        "ElapsedTimeInSeconds": 120,
        "EstimatedTimeToCompletionInSeconds": 100,
        "ProgressInMegaBytes": 10,
        "SnapshotSizeInMegaBytes": 1500,
        "Status": "restoring"
    },
    "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
    "SnapshotScheduleState": "ACTIVE",
     "VpcId": "vpc-example",
    "VpcSecurityGroups": [
        {
            "Status": "active",
            "VpcSecurityGroupId": "sg-example"
        }
    ]
}
```

# AwsRoute53sumber daya di ASFF
<a name="asff-resourcedetails-awsroute53"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsRoute53` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsRoute53HostedZone
<a name="asff-resourcedetails-awsroute53hostedzone"></a>

`AwsRoute53HostedZone`Objek memberikan informasi tentang zona yang dihosting Amazon Route 53, termasuk empat server nama yang ditetapkan ke zona yang dihosting. Zona yang dihosting mewakili kumpulan catatan yang dapat dikelola bersama, milik nama domain induk tunggal.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsRoute53HostedZone` objek. Untuk melihat deskripsi `AwsRoute53HostedZone` atribut, lihat [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsRoute53HostedZone": {
    "HostedZone": {
        "Id": "Z06419652JEMGO9TA2XKL",
        "Name": "asff.testing",
        "Config": {
            "Comment": "This is an example comment."
        }
    },
    "NameServers": [
        "ns-470.awsdns-32.net",
        "ns-1220.awsdns-12.org",
        "ns-205.awsdns-13.com",
        "ns-1960.awsdns-51.co.uk"
    ],
    "QueryLoggingConfig": {
        "CloudWatchLogsLogGroupArn": {
            "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "HostedZoneId": "Z00932193AF5H180PPNZD"
        }
    },
    "Vpcs": [
        {
            "Id": "vpc-05d7c6e36bc03ea76",
            "Region": "us-east-1"
        }
    ]
}
```

# AwsS3sumber daya di ASFF
<a name="asff-resourcedetails-awss3"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsS3` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsS3AccessPoint
<a name="asff-resourcedetails-awss3accesspoint"></a>

`AwsS3AccessPoint`memberikan informasi tentang jalur akses Amazon S3. Titik akses S3 diberi nama titik akhir jaringan yang dilampirkan ke bucket S3 yang dapat Anda gunakan untuk melakukan operasi objek S3.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsS3AccessPoint` objek. *Untuk melihat deskripsi `AwsS3AccessPoint` atribut, lihat [AWSS3 AccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) di Referensi API.AWS Security Hub *

**Contoh**

```
"AwsS3AccessPoint": {
        "AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
        "Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
        "Bucket": "amzn-s3-demo-bucket",
        "BucketAccountId": "123456789012",
        "Name": "asff-access-point",
        "NetworkOrigin": "VPC",
        "PublicAccessBlockConfiguration": {
            "BlockPublicAcls": true,
            "BlockPublicPolicy": true,
            "IgnorePublicAcls": true,
            "RestrictPublicBuckets": true
        },
        "VpcConfiguration": {
            "VpcId": "vpc-1a2b3c4d5e6f1a2b3"
        }
}
```

## AwsS3AccountPublicAccessBlock
<a name="asff-resourcedetails-awss3accountpublicaccessblock"></a>

`AwsS3AccountPublicAccessBlock`memberikan informasi tentang konfigurasi Blok Akses Publik Amazon S3 untuk akun.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsS3AccountPublicAccessBlock` objek. *Untuk melihat deskripsi `AwsS3AccountPublicAccessBlock` atribut, lihat [AWSS3 AccountPublicAccessBlockDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) di Referensi API.AWS Security Hub *

**Contoh**

```
"AwsS3AccountPublicAccessBlock": {
    "BlockPublicAcls": true,
    "BlockPublicPolicy": true,
    "IgnorePublicAcls": false,
    "RestrictPublicBuckets": true
}
```

## AwsS3Bucket
<a name="asff-resourcedetails-awss3bucket"></a>

`AwsS3Bucket`Objek tersebut memberikan detail tentang bucket Amazon S3.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsS3Bucket` objek. *Untuk melihat deskripsi `AwsS3Bucket` atribut, lihat [AWSS3 BucketDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) di Referensi API.AWS Security Hub *

**Contoh**

```
"AwsS3Bucket": {
    "AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
    "BucketLifecycleConfiguration": {
       "Rules": [
           {
               "AbortIncompleteMultipartUpload": {
                   "DaysAfterInitiation": 5
               },
               "ExpirationDate": "2021-11-10T00:00:00.000Z",
               "ExpirationInDays": 365,
               "ExpiredObjectDeleteMarker": false,
               "Filter": {
                   "Predicate": {
                       "Operands": [
                           {
                               "Prefix": "tmp/",
                               "Type": "LifecyclePrefixPredicate"
                           },
                           {
                               "Tag": {
                                   "Key": "ArchiveAge",
                                   "Value": "9m"
                               },
                               "Type": "LifecycleTagPredicate"
                           }
                       ],
                       "Type": "LifecycleAndOperator"
                   }
               },
               "ID": "Move rotated logs to Glacier",
               "NoncurrentVersionExpirationInDays": -1,
               "NoncurrentVersionTransitions": [
                   {
                       "Days": 2,
                       "StorageClass": "GLACIER"
                   }
               ],
               "Prefix": "rotated/",
               "Status": "Enabled",
               "Transitions": [
                   {
                       "Date": "2020-11-10T00:00:00.000Z",
                       "Days": 100,
                       "StorageClass": "GLACIER"
                   }
               ]
           }
       ]
    },
    "BucketLoggingConfiguration": {
    	"DestinationBucketName": "s3serversideloggingbucket-123456789012",
    	"LogFilePrefix": "buckettestreadwrite23435/"
    },
    "BucketName": "amzn-s3-demo-bucket",
    "BucketNotificationConfiguration": {
    	"Configurations": [{
    		"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
    		"Events": [
    			"s3:ObjectCreated:Put"
    		],
    		"Filter": {
    			"S3KeyFilter": {
    				"FilterRules": [
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
    					"Value": "pre"
    				},
    				{
    					"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
    					"Value": "suf"
    				},
    				]
    			}
    		},
    		"Type": "LambdaConfiguration"
    	}]
    },
    "BucketVersioningConfiguration": {
    	"IsMfaDeleteEnabled": true,
    	"Status": "Off"
    },
    "BucketWebsiteConfiguration": {
    	"ErrorDocument": "error.html",
    	"IndexDocumentSuffix": "index.html",
    	"RedirectAllRequestsTo": {
    		"HostName": "example.com",
    		"Protocol": "http"
    	},
    	"RoutingRules": [{
    		"Condition": {
    			"HttpErrorCodeReturnedEquals": "Redirected",
    			"KeyPrefixEquals": "index"
    					},
    		"Redirect": {
    			"HostName": "example.com",
    			"HttpRedirectCode": "401",
    			"Protocol": "HTTP",
    			"ReplaceKeyPrefixWith": "string",
    			"ReplaceKeyWith": "string"
    		}
    	}]
    },
    "CreatedAt": "2007-11-30T01:46:56.000Z",
    "ObjectLockConfiguration": {
    	"ObjectLockEnabled": "Enabled",
    	"Rule": {
    		"DefaultRetention": {
    			"Days": null,
    			"Mode": "GOVERNANCE",
    			"Years": 12
    		},
    	},
    },
    "OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
    "OwnerName": "s3bucketowner",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "BlockPublicPolicy": true,
        "IgnorePublicAcls": true,
        "RestrictPublicBuckets": true,
    },
    "ServerSideEncryptionConfiguration": {
        "Rules": [
            {
                "ApplyServerSideEncryptionByDefault": {
                    "SSEAlgorithm": "AES256",
                    "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
                }
            }
        ]
     }
}
```

## AwsS3Object
<a name="asff-resourcedetails-awss3object"></a>

`AwsS3Object`Objek memberikan informasi tentang objek Amazon S3.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsS3Object` objek. *Untuk melihat deskripsi `AwsS3Object` atribut, lihat [AWSS3 ObjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) di Referensi API.AWS Security Hub *

**Contoh**

```
"AwsS3Object": {
    "ContentType": "text/html",
    "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
    "LastModified": "2012-04-23T18:25:43.511Z",
    "ServerSideEncryption": "aws:kms",
    "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
    "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```

# AwsSageMakersumber daya di ASFF
<a name="asff-resourcedetails-awssagemaker"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsSageMaker` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsSageMakerNotebookInstance
<a name="asff-resourcedetails-awssagemakernotebookinstance"></a>

`AwsSageMakerNotebookInstance`Objek menyediakan informasi tentang instance notebook Amazon SageMaker AI, yang merupakan instance komputasi pembelajaran mesin yang menjalankan Aplikasi Notebook Jupyter.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsSageMakerNotebookInstance` objek. Untuk melihat deskripsi `AwsSageMakerNotebookInstance` atribut, lihat [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsSageMakerNotebookInstance": {
    "DirectInternetAccess": "Disabled",
    "InstanceMetadataServiceConfiguration": {
    	"MinimumInstanceMetadataServiceVersion": "1",
    },
    "InstanceType": "ml.t2.medium",
    "LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
    "NetworkInterfaceId": "eni-06c09ac2541a1bed3",
    "NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
    "NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
    "NotebookInstanceStatus": "InService",
    "PlatformIdentifier": "notebook-al1-v1",
    "RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
    "RootAccess": "Disabled",
    "SecurityGroups": [
    	"sg-06b347359ab068745"
    ],
    "SubnetId": "subnet-02c0deea5fa64578e",
    "Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
    "VolumeSizeInGB": 5
}
```

# AwsSecretsManagersumber daya di ASFF
<a name="asff-resourcedetails-awssecretsmanager"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsSecretsManager` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsSecretsManagerSecret
<a name="asff-resourcedetails-awssecretsmanagersecret"></a>

`AwsSecretsManagerSecret`Objek memberikan rincian tentang rahasia Secrets Manager.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsSecretsManagerSecret` objek. Untuk melihat deskripsi `AwsSecretsManagerSecret` atribut, lihat [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsSecretsManagerSecret": {
    "RotationRules": {
        "AutomaticallyAfterDays": 30
    },
    "RotationOccurredWithinFrequency": true,
    "KmsKeyId": "kmsKeyId",
    "RotationEnabled": true,
    "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
    "Deleted": false,
    "Name": "MyTestDatabaseSecret",
    "Description": "My test database secret"
}
```

# AwsSnssumber daya di ASFF
<a name="asff-resourcedetails-awssns"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsSns` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsSnsTopic
<a name="asff-resourcedetails-awssnstopic"></a>

`AwsSnsTopic`Objek berisi rincian tentang topik Amazon Simple Notification Service.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsSnsTopic` objek. Untuk melihat deskripsi `AwsSnsTopic` atribut, lihat [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsSnsTopic": {
    "ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",                        
    "FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
    "FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
    "HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
    "HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",                         
    "KmsMasterKeyId": "alias/ExampleAlias",
    "Owner": "123456789012",
    "SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
    "SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",                         
    "Subscription": {
         "Endpoint": "http://sampleendpoint.com",
         "Protocol": "http"
    },
    "TopicName": "SampleTopic"
}
```

# AwsSqssumber daya di ASFF
<a name="asff-resourcedetails-awssqs"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsSqs` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsSqsQueue
<a name="asff-resourcedetails-awssqsqueue"></a>

`AwsSqsQueue`Objek berisi informasi tentang antrian Amazon Simple Queue Service.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsSqsQueue` objek. Untuk melihat deskripsi `AwsSqsQueue` atribut, lihat [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsSqsQueue": {
    "DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
    "KmsDataKeyReusePeriodSeconds": 60,,
    "KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "QueueName": "sample-queue"
}
```

# AwsSsmsumber daya di ASFF
<a name="asff-resourcedetails-awsssm"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsSsm` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsSsmPatchCompliance
<a name="asff-resourcedetails-awsssmpatchcompliance"></a>

`AwsSsmPatchCompliance`Objek memberikan informasi tentang status patch pada instance berdasarkan baseline patch yang digunakan untuk menambal instance.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsSsmPatchCompliance` objek. Untuk melihat deskripsi `AwsSsmPatchCompliance` atribut, lihat [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsSsmPatchCompliance": {
    "Patch": {
        "ComplianceSummary": {
            "ComplianceType": "Patch",
            "CompliantCriticalCount": 0,
            "CompliantHighCount": 0,
            "CompliantInformationalCount": 0,
            "CompliantLowCount": 0,
            "CompliantMediumCount": 0,
            "CompliantUnspecifiedCount": 461,
            "ExecutionType": "Command",
            "NonCompliantCriticalCount": 0,
            "NonCompliantHighCount": 0,
            "NonCompliantInformationalCount": 0,
            "NonCompliantLowCount": 0,
            "NonCompliantMediumCount": 0,
            "NonCompliantUnspecifiedCount": 0,
            "OverallSeverity": "UNSPECIFIED",
            "PatchBaselineId": "pb-0c5b2769ef7cbe587",
            "PatchGroup": "ExamplePatchGroup",
            "Status": "COMPLIANT"
        }
    }
}
```

# AwsStepFunctionssumber daya di ASFF
<a name="asff-resourcedetails-awsstepfunctions"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsStepFunctions` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsStepFunctionStateMachine
<a name="asff-resourcedetails-awsstepfunctionstatemachine"></a>

`AwsStepFunctionStateMachine`Objek memberikan informasi tentang mesin AWS Step Functions negara, yang merupakan alur kerja yang terdiri dari serangkaian langkah yang digerakkan oleh peristiwa.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsStepFunctionStateMachine` objek. Untuk melihat deskripsi `AwsStepFunctionStateMachine` atribut, lihat [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsStepFunctionStateMachine": {
    "StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
    "Status": "ACTIVE",
    "RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
    "Type": "STANDARD",
    "LoggingConfiguration": {
        "Level": "OFF",
        "IncludeExecutionData": false
    },
    "TracingConfiguration": {
        "Enabled": false
    }
}
```

# AwsWafsumber daya di ASFF
<a name="asff-resourcedetails-awswaf"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsWaf` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsWafRateBasedRule
<a name="asff-resourcedetails-awswafratebasedrule"></a>

`AwsWafRateBasedRule`Objek berisi rincian tentang aturan AWS WAF berbasis tarif untuk sumber daya global. Aturan AWS WAF berbasis tarif menyediakan pengaturan untuk menunjukkan kapan harus mengizinkan, memblokir, atau menghitung permintaan. Aturan berbasis tarif mencakup jumlah permintaan yang tiba selama periode waktu tertentu.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafRateBasedRule` objek. Untuk melihat deskripsi `AwsWafRateBasedRule` atribut, lihat [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRateBasedRule
<a name="asff-resourcedetails-awswafregionalratebasedrule"></a>

`AwsWafRegionalRateBasedRule`Objek berisi rincian tentang aturan berbasis tarif untuk sumber daya Regional. Aturan berbasis tarif menyediakan pengaturan untuk menunjukkan kapan harus mengizinkan, memblokir, atau menghitung permintaan. Aturan berbasis tarif mencakup jumlah permintaan yang tiba selama periode waktu tertentu.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafRegionalRateBasedRule` objek. Untuk melihat deskripsi `AwsWafRegionalRateBasedRule` atribut, lihat [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRegionalRateBasedRule":{
    "MatchPredicates" : [{
        "DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
        "Negated" : "True",
        "Type" : "IPMatch" ,
    }],
    "MetricName" : "MetricName",
    "Name" : "Test",
    "RateKey" : "IP",
    "RateLimit" : 235000,
    "RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```

## AwsWafRegionalRule
<a name="asff-resourcedetails-awswafregionalrule"></a>

`AwsWafRegionalRule`Objek memberikan rincian tentang aturan AWS WAF Regional. Aturan ini mengidentifikasi permintaan web yang ingin Anda izinkan, blokir, atau hitung.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafRegionalRule` objek. Untuk melihat deskripsi `AwsWafRegionalRule` atribut, lihat [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRegionalRule": { 
    "MetricName": "SampleWAF_Rule__Metric_1",
    "Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
    "PredicateList": [{
        "DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
        "Negated": false,
        "Type": "GeoMatch"
    }]
}
```

## AwsWafRegionalRuleGroup
<a name="asff-resourcedetails-awswafregionalrulegroup"></a>

`AwsWafRegionalRuleGroup`Objek memberikan rincian tentang kelompok aturan AWS WAF Regional. Grup aturan adalah kumpulan aturan standar yang Anda tambahkan ke daftar kontrol akses web (web ACL).

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafRegionalRuleGroup` objek. Untuk melihat deskripsi `AwsWafRegionalRuleGroup` atribut, lihat [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRegionalRuleGroup": { 
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW"
        }
    }],
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
}
```

## AwsWafRegionalWebAcl
<a name="asff-resourcedetails-awswafregionalwebacl"></a>

`AwsWafRegionalWebAcl`memberikan rincian tentang daftar kontrol akses web AWS WAF Regional (web ACL). ACL web berisi aturan yang mengidentifikasi permintaan yang ingin Anda izinkan, blokir, atau hitung.

Berikut ini adalah contoh `AwsWafRegionalWebAcl` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayV2Stage` atribut, lihat [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRegionalWebAcl": {
    "DefaultAction": "ALLOW",
    "MetricName" : "web-regional-webacl-metric-1",
    "Name": "WebACL_123",
    "RulesList": [
        {
            "Action": {
                "Type": "Block"
            },
            "Priority": 3,
            "RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
            "Type": "REGULAR",
            "ExcludedRules": [
                {
                    "ExclusionType": "Exclusion",
                    "RuleId": "Rule_id_1"
                }
            ],
            "OverrideAction": {
                "Type": "OVERRIDE"
            }
        }
    ],
    "WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```

## AwsWafRule
<a name="asff-resourcedetails-awswafrule"></a>

`AwsWafRule`memberikan informasi tentang suatu AWS WAF aturan. AWS WAF Aturan mengidentifikasi permintaan web yang ingin Anda izinkan, blokir, atau hitung.

Berikut ini adalah contoh `AwsWafRule` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayV2Stage` atribut, lihat [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRule": {
    "MetricName": "AwsWafRule_Metric_1",
    "Name": "AwsWafRule_Name_1",
    "PredicateList": [{
        "DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
        "Negated": false,
        "Type": "GeoMatch"
    }],
    "RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```

## AwsWafRuleGroup
<a name="asff-resourcedetails-awswafrulegroup"></a>

`AwsWafRuleGroup`memberikan informasi tentang kelompok AWS WAF aturan. Grup AWS WAF aturan adalah kumpulan aturan yang telah ditentukan sebelumnya yang Anda tambahkan ke daftar kontrol akses web (web ACL).

Berikut ini adalah contoh `AwsWafRuleGroup` temuan dalam AWS Security Finding Format (ASFF). Untuk melihat deskripsi `AwsApiGatewayV2Stage` atribut, lihat [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafRuleGroup": {
    "MetricName": "SampleWAF_Metric_1",
    "Name": "bb-WAFRuleGroupWithRuleCompliant",
    "RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
    "Rules": [{
        "Action": {
            "Type": "ALLOW",
        },
        "Priority": 1,
        "RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
        "Type": "REGULAR"
    }]
}
```

## AwsWafv2RuleGroup
<a name="asff-resourcedetails-awswafv2rulegroup"></a>

`AwsWafv2RuleGroup`Objek memberikan rincian tentang grup aturan AWS WAF V2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafv2RuleGroup` objek. Untuk melihat deskripsi `AwsWafv2RuleGroup` atribut, lihat [AwsWafv2 RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafv2RuleGroup": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1000,
    "Description": "Resource for ASFF",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "wafv2rulegroupasff",
    "Rules": [{
    	"Action": {
    	"Allow": {
    		"CustomRequestHandling": {
    			"InsertHeaders": [
    				{
    				"Name": "AllowActionHeader1Name",
    				"Value": "AllowActionHeader1Value"
    				},
    				{
    				"Name": "AllowActionHeader2Name",
    				"Value": "AllowActionHeader2Value"
    				}
    			]
    		}
    	},
    	"Name": "RuleOne",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "rulegroupasff",
    		"SampledRequestsEnabled": false
    	}
    }],
    "VisibilityConfig": {
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "rulegroupasff",
    	"SampledRequestsEnabled": false
    }
}
```

## AwsWafWebAcl
<a name="asff-resourcedetails-awswafwebacl"></a>

`AwsWafWebAcl`Objek memberikan rincian tentang ACL AWS WAF web.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafWebAcl` objek. Untuk melihat deskripsi `AwsWafWebAcl` atribut, lihat [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafWebAcl": {
    "DefaultAction": "ALLOW",
    "Name": "MyWafAcl",
    "Rules": [
        {
            "Action": {
                "Type": "ALLOW"
            },
            "ExcludedRules": [
                {
                    "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
                }
            ],
            "OverrideAction": {
                "Type": "NONE"
            },
            "Priority": 1,
            "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
            "Type": "REGULAR"
        }
    ],
    "WebAclId": "waf-1234567890"
}
```

## AwsWafv2WebAcl
<a name="asff-resourcedetails-awswafv2webacl"></a>

`AwsWafv2WebAcl`Objek memberikan rincian tentang ACL web AWS WAF V2.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsWafv2WebAcl` objek. Untuk melihat deskripsi `AwsWafv2WebAcl` atribut, lihat [AwsWafv2 WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsWafv2WebAcl": {
    "Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Capacity": 1326,
    "CaptchaConfig": {
    	"ImmunityTimeProperty": {
    		"ImmunityTime": 500
    	}
    },
    "DefaultAction": {
    	"Block": {}
    },
    "Description": "Web ACL for JsonBody testing",
    "ManagedbyFirewallManager": false,
    "Name": "WebACL-RoaD4QexqSxG",
    "Rules": [{
    	"Action": {
    		"RuleAction": {
    			"Block": {}
    		}
    	},
    	"Name": "TestJsonBodyRule",
    	"Priority": 1,
    	"VisibilityConfig": {
    		"SampledRequestsEnabled": true,
    		"CloudWatchMetricsEnabled": true,
    		"MetricName": "JsonBodyMatchMetric"
    	}
    }],
    "VisibilityConfig": {
    	"SampledRequestsEnabled": true,
    	"CloudWatchMetricsEnabled": true,
    	"MetricName": "TestingJsonBodyMetric"
    }
}
```

# AwsXraysumber daya di ASFF
<a name="asff-resourcedetails-awsxray"></a>

Berikut ini adalah contoh sintaks AWS Security Finding Format (ASFF) untuk `AwsXray` sumber daya.

AWS Security Hub CSPM menormalkan temuan dari berbagai sumber menjadi ASFF. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

## AwsXrayEncryptionConfig
<a name="asff-resourcedetails-awsxrayencryptionconfig"></a>

`AwsXrayEncryptionConfig`Objek berisi informasi tentang konfigurasi enkripsi untuk AWS X-Ray.

Contoh berikut menunjukkan AWS Security Finding Format (ASFF) untuk `AwsXrayEncryptionConfig` objek. Untuk melihat deskripsi `AwsXrayEncryptionConfig` atribut, lihat [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)di *Referensi AWS Security Hub API*.

**Contoh**

```
"AwsXRayEncryptionConfig":{
    "KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
    "Status": "UPDATING",
    "Type":"KMS"
}
```

# CodeRepositoryobjek di ASFF
<a name="asff-resourcedetails-coderepository"></a>

`CodeRepository`Objek menyediakan informasi tentang repositori kode eksternal yang Anda sambungkan ke AWS sumber daya dan mengkonfigurasi Amazon Inspector untuk memindai kerentanan.

Contoh berikut menunjukkan sintaks AWS Security Finding Format (ASFF) untuk objek. `CodeRepository` Untuk melihat deskripsi `CodeRepository` atribut, lihat [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)di *Referensi AWS Security Hub API*. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

**Contoh**

```
"CodeRepository": {
    "ProviderType": "GITLAB_SELF_MANAGED",
    "ProjectName": "projectName",
    "CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```

# Containerobjek di ASFF
<a name="asff-resourcedetails-container"></a>

Contoh berikut menunjukkan sintaks AWS Security Finding Format (ASFF) untuk objek. `Container` Untuk melihat deskripsi `Container` atribut, lihat [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)di *Referensi AWS Security Hub API*. Untuk informasi latar belakang tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

**Contoh**

```
"Container": {
    "ContainerRuntime": "docker",
    "ImageId": "image12",
    "ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
    "LaunchedAt": "2018-09-29T01:25:54Z",
    "Name": "knote",
    "Privileged": true,
    "VolumeMounts": [{
        "Name": "vol-03909e9",
        "MountPath": "/mnt/etc"
    }]
}
```

# Otherobjek di ASFF
<a name="asff-resourcedetails-other"></a>

Dalam AWS Security Finding Format (ASFF), `Other` objek menentukan bidang dan nilai kustom. Untuk informasi lebih lanjut tentang ASFF, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

Dengan menggunakan `Other` objek, Anda dapat menentukan bidang dan nilai kustom untuk sumber daya. Anda dapat menggunakan `Other` objek untuk kasus-kasus berikut:
+ Jenis sumber daya tidak memiliki `Details` objek yang sesuai. Untuk menentukan detail sumber daya, gunakan `Other` objek.
+ `Details`Objek untuk jenis sumber daya tidak menyertakan semua atribut yang ingin Anda tentukan. Dalam hal ini, gunakan `Details` objek untuk jenis sumber daya untuk menentukan atribut yang tersedia. Gunakan `Other` objek untuk menentukan atribut yang tidak ada dalam objek tipe-spesifik`Details`.
+ Jenis sumber daya bukan salah satu jenis yang disediakan. Dalam hal ini, atur `Resource.Type` ke `Other` dan gunakan `Other` objek untuk menentukan detailnya.

**Jenis:** Peta hingga 50 pasangan nilai kunci

Setiap pasangan kunci-nilai harus memenuhi persyaratan berikut.
+ Kunci harus berisi kurang dari 128 karakter.
+ Nilai harus mengandung kurang dari 1.024 karakter.

# Melihat wawasan di Security Hub CSPM
<a name="securityhub-insights"></a>

Di AWS Security Hub CSPM, *wawasan* adalah kumpulan temuan terkait. Wawasan dapat mengidentifikasi area keamanan tertentu yang membutuhkan perhatian dan intervensi. Misalnya, wawasan mungkin menunjukkan EC2 contoh yang menjadi subjek temuan yang mendeteksi praktik keamanan yang buruk. Wawasan menyatukan temuan dari seluruh penyedia pencarian.

Setiap wawasan didefinisikan oleh grup berdasarkan pernyataan dan filter opsional. Kelompok berdasarkan pernyataan menunjukkan bagaimana mengelompokkan temuan yang cocok, dan mengidentifikasi jenis item yang diterapkan wawasan tersebut. Misalnya, jika wawasan dikelompokkan berdasarkan pengidentifikasi sumber daya, maka wawasan menghasilkan daftar pengidentifikasi sumber daya. Filter opsional mengidentifikasi temuan yang cocok untuk wawasan. Misalnya, Anda mungkin ingin hanya melihat temuan dari penyedia atau temuan tertentu yang terkait dengan jenis sumber daya tertentu.

Security Hub CSPM menawarkan beberapa wawasan terkelola bawaan. Anda tidak dapat mengubah atau menghapus wawasan terkelola. Untuk melacak masalah keamanan yang unik untuk AWS lingkungan dan penggunaan Anda, Anda dapat membuat wawasan khusus.

Halaman **Wawasan** di konsol CSPM AWS Security Hub menampilkan daftar wawasan yang tersedia.

Secara default, daftar menampilkan wawasan terkelola dan kustom. Untuk memfilter daftar wawasan berdasarkan jenis wawasan, pilih jenis wawasan dari menu tarik-turun yang berada di sebelah bidang filter.
+ Untuk menampilkan semua wawasan yang tersedia, pilih **Semua wawasan**. Ini adalah pilihan default.
+ Untuk hanya menampilkan wawasan terkelola, pilih wawasan terkelola **CSPM Security Hub**.
+ Untuk hanya menampilkan wawasan khusus, pilih **Wawasan khusus**.

Anda juga dapat memfilter daftar wawasan berdasarkan nama wawasan. Untuk melakukannya, di bidang filter, ketikkan teks yang akan digunakan untuk memfilter daftar. Filter tidak peka huruf besar/kecil. Filter mencari wawasan yang berisi teks di mana saja dalam nama wawasan.

Wawasan hanya mengembalikan hasil jika Anda telah mengaktifkan integrasi atau standar yang menghasilkan temuan yang cocok. Misalnya, wawasan terkelola **29. Sumber daya teratas berdasarkan jumlah pemeriksaan CIS yang gagal** hanya mengembalikan hasil jika Anda mengaktifkan versi standar Tolok Ukur AWS Yayasan Center for Internet Security (CIS).

# Meninjau dan bertindak berdasarkan wawasan di Security Hub CSPM
<a name="securityhub-insights-view-take-action"></a>

Untuk setiap wawasan, AWS Security Hub CSPM pertama-tama menentukan temuan yang cocok dengan kriteria filter, dan kemudian menggunakan atribut pengelompokan untuk mengelompokkan temuan yang cocok.

Dari halaman **Wawasan** di konsol, Anda dapat melihat dan mengambil tindakan atas hasil dan temuan.

Jika Anda mengaktifkan agregasi lintas wilayah, hasil untuk wawasan terkelola (saat Anda masuk ke Wilayah agregasi) menyertakan temuan dari Wilayah agregasi dan Wilayah tertaut. Hasil untuk wawasan khusus, jika wawasan tidak difilter menurut Wilayah, juga menyertakan temuan dari Wilayah agregasi dan Wilayah tertaut (saat Anda masuk ke Wilayah agregasi). Di Wilayah lain, hasil wawasan hanya untuk Wilayah tersebut.

Untuk informasi tentang mengonfigurasi agregasi lintas wilayah, lihat. [Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md)

## Melihat dan mengambil tindakan pada hasil wawasan
<a name="securityhub-insight-results-console"></a>

Hasil wawasan terdiri dari daftar hasil yang dikelompokkan untuk wawasan. Misalnya, jika wawasan dikelompokkan berdasarkan pengidentifikasi sumber daya, maka hasil wawasan adalah daftar pengidentifikasi sumber daya. Setiap item dalam daftar hasil menunjukkan jumlah temuan yang cocok untuk item tersebut.

Jika temuan dikelompokkan berdasarkan pengidentifikasi sumber daya atau jenis sumber daya, hasilnya mencakup semua sumber daya dalam temuan yang cocok. Ini termasuk sumber daya yang memiliki tipe berbeda dari jenis sumber daya yang ditentukan dalam kriteria filter. Misalnya, wawasan mengidentifikasi temuan yang terkait dengan ember S3. Jika temuan yang cocok berisi sumber daya bucket S3 dan sumber daya kunci akses IAM, hasil wawasan menyertakan kedua sumber daya tersebut.

Di konsol CSPM Security Hub, daftar hasil diurutkan dari sebagian besar hingga paling sedikit temuan pencocokan. Security Hub CSPM hanya dapat menampilkan 100 hasil. Jika ada lebih dari 100 nilai pengelompokan, Anda hanya melihat 100 yang pertama.

Selain daftar hasil, hasil wawasan menampilkan serangkaian bagan yang merangkum jumlah temuan yang cocok untuk atribut berikut.
+ **Label keparahan** — Jumlah temuan untuk setiap label keparahan
+ **Akun AWS ID** - Lima akun teratas IDs untuk temuan yang cocok
+ **Jenis sumber daya** - Lima jenis sumber daya teratas untuk temuan yang cocok
+ **ID Sumber Daya** — Lima sumber daya teratas IDs untuk temuan yang cocok
+ **Nama produk** - Lima penyedia temuan teratas untuk temuan yang cocok

Jika Anda telah mengonfigurasi tindakan kustom, maka Anda dapat mengirim hasil yang dipilih ke tindakan kustom. Tindakan harus dikaitkan dengan CloudWatch aturan Amazon untuk jenis `Security Hub Insight Results` acara. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md). Jika Anda belum mengonfigurasi tindakan khusus, menu **Tindakan** dinonaktifkan.

------
#### [ Security Hub CSPM console ]

**Untuk melihat dan mengambil tindakan pada hasil wawasan (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Untuk menampilkan daftar hasil insight, pilih nama insight.

1. Pilih kotak centang untuk setiap hasil untuk dikirim ke tindakan kustom.

1. Dari menu **Tindakan**, pilih tindakan kustom.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Untuk melihat dan mengambil tindakan pada hasil wawasan (API, AWS CLI)**

Untuk melihat hasil insight, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)perintah.

Untuk mengidentifikasi wawasan untuk mengembalikan hasil, Anda memerlukan wawasan ARN. Untuk mendapatkan wawasan ARNs untuk wawasan kustom, gunakan operasi [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API atau [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)perintah.

Contoh berikut mengambil hasil untuk wawasan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Untuk informasi tentang cara membuat tindakan kustom secara terprogram, lihat. [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md)

------

## Melihat dan mengambil tindakan atas temuan hasil wawasan (konsol)
<a name="securityhub-insight-findings-console"></a>

Dari daftar hasil wawasan di konsol CSPM Security Hub, Anda dapat menampilkan daftar temuan untuk setiap hasil.

**Untuk menampilkan dan mengambil tindakan pada temuan wawasan (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Untuk menampilkan daftar hasil insight, pilih nama insight.

1. Untuk menampilkan daftar temuan untuk hasil wawasan, pilih item dari daftar hasil. Daftar temuan menunjukkan temuan aktif untuk hasil wawasan yang dipilih yang memiliki status alur kerja `NEW` atau`NOTIFIED`.

Dari daftar temuan, Anda dapat melakukan tindakan berikut:
+ [Penyaringan temuan di Security Hub CSPM](securityhub-findings-manage.md)
+ [Meninjau detail dan riwayat penemuan](securityhub-findings-viewing.md#finding-view-details-console)
+ [Menetapkan status alur kerja temuan di Security Hub CSPM](findings-workflow-status.md)
+ [Mengirim temuan ke tindakan CSPM Security Hub kustom](findings-custom-action.md)

# Wawasan terkelola di Security Hub CSPM
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM memberikan beberapa wawasan terkelola.

Anda tidak dapat mengedit atau menghapus wawasan terkelola CSPM Security Hub. Anda dapat [melihat dan mengambil tindakan atas hasil dan temuan wawasan](securityhub-insights-view-take-action.md). Anda juga dapat [menggunakan wawasan terkelola sebagai dasar untuk wawasan kustom baru](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Seperti semua wawasan, wawasan terkelola hanya mengembalikan hasil jika Anda telah mengaktifkan integrasi produk atau standar keamanan yang dapat menghasilkan temuan yang cocok.

Untuk wawasan yang dikelompokkan berdasarkan pengenal sumber daya, hasilnya mencakup pengidentifikasi semua sumber daya dalam temuan yang cocok. Ini termasuk sumber daya yang memiliki tipe berbeda dari jenis sumber daya dalam kriteria filter. Misalnya, wawasan 2 dalam daftar berikut mengidentifikasi temuan yang terkait dengan bucket Amazon S3. Jika temuan yang cocok berisi sumber daya bucket S3 dan sumber daya kunci akses IAM, hasil wawasan menyertakan kedua sumber daya tersebut.

Security Hub CSPM saat ini menawarkan wawasan terkelola berikut:

**1. AWS sumber daya dengan temuan terbanyak**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/1`  
**Dikelompokkan berdasarkan:** Pengenal sumber daya  
**Menemukan filter:**  
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**2. Bucket S3 dengan izin tulis atau baca publik**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/10`  
**Dikelompokkan berdasarkan:** Pengenal sumber daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Effects/Data Exposure`
+ Jenis sumber daya adalah `AwsS3Bucket`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**3. AMIs yang menghasilkan temuan terbanyak**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/3`  
**Dikelompokkan berdasarkan:** EC2 contoh ID gambar  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**4. EC2 contoh yang terlibat dalam Taktik, Teknik, dan Prosedur yang diketahui () TTPs**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/14`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `TTPs`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**5. AWS kepala sekolah dengan aktivitas kunci akses yang mencurigakan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/9`  
**Dikelompokkan berdasarkan:** Nama utama kunci akses IAM  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsIamAccessKey`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**6. AWS contoh sumber daya yang tidak memenuhi standar keamanan/praktik terbaik**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/6`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Tipe adalah `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**7. AWS sumber daya yang terkait dengan eksfiltrasi data potensial**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/7`  
**Dikelompokkan berdasarkan::** Resource ID  
**Menemukan filter:**  
+ Jenis dimulai dengan Effects/Data Eksfiltrasi/
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**8. AWS sumber daya yang terkait dengan konsumsi sumber daya yang tidak sah**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/8`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Effects/Resource Consumption`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**9. Bucket S3 yang tidak memenuhi standar keamanan/praktik terbaik**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/11`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsS3Bucket`
+ Tipe adalah `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**10. Bucket S3 dengan data sensitif**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/12`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsS3Bucket`
+ Jenis dimulai dengan `Sensitive Data Identifications/`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**11. Kredensil yang mungkin bocor**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/13`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Sensitive Data Identifications/Passwords/`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**12. EC2 contoh yang memiliki patch keamanan yang hilang untuk kerentanan penting**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/16`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Software and Configuration Checks/Vulnerabilities/CVE`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**13. EC2 contoh dengan perilaku umum yang tidak biasa**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/17`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Unusual Behaviors`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**14. EC2 contoh yang memiliki port yang dapat diakses dari Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/18`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**15. EC2 contoh yang tidak memenuhi standar keamanan/praktik terbaik**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/19`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan salah satu dari berikut ini:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**16. EC2 contoh yang terbuka untuk Internet**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/21`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**17. EC2 contoh yang terkait dengan pengintaian musuh**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/22`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai TTPs dengan/Discovery/Recon
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**18. AWS sumber daya yang terkait dengan malware**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/23`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan salah satu dari berikut ini:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**19. AWS sumber daya yang terkait dengan masalah cryptocurrency**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/24`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan salah satu dari berikut ini:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**20. AWS sumber daya dengan upaya akses yang tidak sah**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/25`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis dimulai dengan salah satu dari berikut ini:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**21. Indikator Ancaman Intel dengan hit terbanyak dalam seminggu terakhir**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/26`  
**Menemukan filter:**  
+ Dibuat dalam 7 hari terakhir

**22. Akun teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/27`  
**Dikelompokkan berdasarkan: ID** Akun AWS   
**Menemukan filter:**  
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**23. Produk teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/28`  
**Dikelompokkan berdasarkan: Nama** produk  
**Menemukan filter:**  
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**24. Keparahan berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/29`  
**Dikelompokkan berdasarkan: Label** keparahan  
**Menemukan filter:**  
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**25. Ember S3 teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/30`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsS3Bucket`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**26. EC2 Contoh teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/31`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**27. Teratas AMIs dengan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/32`  
**Dikelompokkan berdasarkan:** EC2 contoh ID gambar  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsEc2Instance`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**28. Pengguna IAM teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/33`  
**Dikelompokkan berdasarkan: ID** kunci akses IAM  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsIamAccessKey`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**29. Sumber daya teratas berdasarkan jumlah pemeriksaan CIS yang gagal**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/34`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Generator ID dimulai dengan `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Diperbarui di hari terakhir
+ Status kepatuhan adalah `FAILED`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**30. Integrasi teratas berdasarkan jumlah temuan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/35`  
**Dikelompokkan berdasarkan: Produk ARN**  
**Menemukan filter:**  
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**31. Sumber daya dengan pemeriksaan keamanan paling gagal**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/36`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ Diperbarui di hari terakhir
+ Status kepatuhan adalah `FAILED`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**32. Pengguna IAM dengan aktivitas mencurigakan**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/37`  
**Dikelompokkan berdasarkan: Pengguna** IAM  
**Menemukan filter:**  
+ Jenis sumber daya adalah `AwsIamUser`
+ Record state adalah `ACTIVE`
+ Status alur kerja adalah `NEW` atau `NOTIFIED`

**33. Sumber daya dengan AWS Health temuan terbanyak**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/38`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ `ProductName`sama `Health`

**34. Sumber daya dengan AWS Config temuan terbanyak**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/39`  
**Dikelompokkan berdasarkan: ID** Sumber Daya  
**Menemukan filter:**  
+ `ProductName`sama `Config`

**35. Aplikasi dengan temuan terbanyak**  
**ARN:** `arn:aws:securityhub:::insight/securityhub/default/40`  
**Dikelompokkan berdasarkan:** ResourceApplicationArn  
**Menemukan filter:**  
+ `RecordState`sama `ACTIVE`
+ `Workflow.Status`sama `NEW` atau `NOTIFIED`

# Memahami wawasan khusus di Security Hub CSPM
<a name="securityhub-custom-insights"></a>

Selain wawasan terkelola CSPM AWS Security Hub, Anda dapat membuat wawasan khusus di Security Hub CSPM untuk melacak masalah yang spesifik untuk lingkungan Anda. Wawasan khusus membantu Anda melacak subset masalah yang dikuratori.

Berikut adalah beberapa contoh wawasan khusus yang mungkin berguna untuk disiapkan:
+ Jika Anda memiliki akun administrator, Anda dapat menyiapkan wawasan khusus untuk melacak temuan kritis dan tingkat keparahan tinggi yang memengaruhi akun anggota.
+ Jika Anda mengandalkan [AWS layanan terintegrasi](securityhub-internal-providers.md) tertentu, Anda dapat menyiapkan wawasan khusus untuk melacak temuan kritis dan tingkat keparahan tinggi dari layanan tersebut.
+ Jika Anda mengandalkan [integrasi pihak ketiga](securityhub-partner-providers.md), Anda dapat menyiapkan wawasan khusus untuk melacak temuan kritis dan tingkat keparahan tinggi dari produk terintegrasi tersebut.

Anda dapat membuat wawasan kustom yang benar-benar baru, atau mulai dari wawasan kustom atau terkelola yang ada.

Setiap wawasan dapat dikonfigurasi dengan opsi berikut:
+ **Atribut pengelompokan** - Atribut pengelompokan menentukan item mana yang ditampilkan dalam daftar hasil wawasan. Misalnya, jika atribut pengelompokan adalah **Nama Produk**, hasil wawasan menampilkan jumlah temuan yang terkait dengan setiap penyedia temuan.
+ **Filter opsional** — Filter mempersempit temuan yang cocok untuk wawasan.

  Temuan disertakan dalam hasil wawasan hanya jika cocok dengan semua filter yang disediakan. Misalnya, jika filter adalah “Nama produk adalah GuardDuty" dan “Jenis sumber daya adalah `AwsS3Bucket` “, temuan yang cocok harus cocok dengan kedua kriteria ini.

  Namun, Security Hub CSPM menerapkan logika BOOLEAN OR ke filter yang menggunakan atribut yang sama tetapi nilainya berbeda. Misalnya, jika filter adalah “Nama produk adalah GuardDuty" dan “Nama produk adalah Amazon Inspector”, temuan cocok jika dihasilkan oleh Amazon GuardDuty atau Amazon Inspector.

Jika Anda menggunakan pengenal sumber daya atau tipe sumber daya sebagai atribut pengelompokan, hasil wawasan mencakup semua sumber daya yang ada dalam temuan yang cocok. Daftar ini tidak terbatas pada sumber daya yang cocok dengan filter jenis sumber daya. Misalnya, wawasan mengidentifikasi temuan yang terkait dengan ember S3, dan mengelompokkan temuan tersebut berdasarkan pengidentifikasi sumber daya. Temuan yang cocok berisi sumber daya bucket S3 dan sumber daya kunci akses IAM. Hasil wawasan mencakup kedua sumber daya.

Jika Anda mengaktifkan [agregasi lintas wilayah](finding-aggregation.md) dan kemudian membuat wawasan khusus, wawasan tersebut berlaku untuk temuan yang cocok di Wilayah agregasi dan Wilayah tertaut. Pengecualiannya adalah jika wawasan Anda menyertakan filter Wilayah.

# Membuat wawasan khusus
<a name="securityhub-custom-insight-create-api"></a>

Di AWS Security Hub CSPM, wawasan khusus dapat digunakan untuk mengumpulkan serangkaian temuan tertentu dan melacak masalah yang unik bagi lingkungan Anda. Untuk informasi latar belakang tentang wawasan khusus, lihat[Memahami wawasan khusus di Security Hub CSPM](securityhub-custom-insights.md).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk membuat wawasan khusus di Security Hub CSPM

------
#### [ Security Hub CSPM console ]

**Untuk membuat wawasan khusus (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Pilih **Buat wawasan**.

1. Untuk memilih atribut pengelompokan untuk wawasan:

   1. Pilih kotak pencarian untuk menampilkan opsi filter.

   1. Pilih **Grup berdasarkan**.

   1. Pilih atribut yang akan digunakan untuk mengelompokkan temuan yang terkait dengan wawasan ini.

   1. Pilih **Terapkan**.

1. Secara opsional, pilih filter tambahan apa pun yang akan digunakan untuk wawasan ini. Untuk setiap filter, tentukan kriteria filter, lalu pilih **Terapkan**.

1. Pilih **Buat wawasan**.

1. Masukkan **nama Insight**, lalu pilih **Create insight**.

------
#### [ Security Hub CSPM API ]

**Untuk membuat wawasan khusus (API)**

1. Untuk membuat wawasan khusus, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)perintah.

1. Isi `Name` parameter dengan nama untuk wawasan kustom Anda.

1. Isi `Filters` parameter untuk menentukan temuan mana yang akan dimasukkan dalam wawasan.

1. Isi `GroupByAttribute` parameter untuk menentukan atribut mana yang digunakan untuk mengelompokkan temuan yang termasuk dalam wawasan.

1. Secara opsional, isi `SortCriteria` parameter untuk mengurutkan temuan berdasarkan bidang tertentu.

Contoh berikut menciptakan wawasan khusus yang mencakup temuan penting dengan jenis `AwsIamRole` sumber daya. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Untuk membuat wawasan khusus (PowerShell)**

1. Gunakan `New-SHUBInsight` cmdlet.

1. Isi `Name` parameter dengan nama untuk wawasan kustom Anda.

1. Isi `Filter` parameter untuk menentukan temuan mana yang akan dimasukkan dalam wawasan.

1. Isi `GroupByAttribute` parameter untuk menentukan atribut mana yang digunakan untuk mengelompokkan temuan yang termasuk dalam wawasan.

Jika Anda telah mengaktifkan [agregasi lintas wilayah](finding-aggregation.md) dan menggunakan cmdlet ini dari Wilayah agregasi, wawasan berlaku untuk temuan yang cocok dari agregasi dan Wilayah tertaut.

**Contoh**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Membuat wawasan khusus dari wawasan terkelola (hanya konsol)
<a name="securityhub-custom-insight-frrom-managed"></a>

Anda tidak dapat menyimpan perubahan atau menghapus wawasan terkelola. Namun, Anda dapat menggunakan wawasan terkelola sebagai dasar untuk wawasan khusus. Ini adalah opsi di konsol CSPM Security Hub saja.

**Untuk membuat wawasan khusus dari wawasan terkelola (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Pilih wawasan terkelola untuk bekerja.

1. Edit konfigurasi wawasan sesuai kebutuhan.
   + Untuk mengubah atribut yang digunakan untuk mengelompokkan temuan dalam wawasan:

     1. Untuk menghapus pengelompokan yang ada, pilih **X** di sebelah **Grup dengan** pengaturan.

     1. Pilih kotak pencarian.

     1. Pilih atribut yang akan digunakan untuk pengelompokan.

     1. Pilih **Terapkan**.
   + Untuk menghapus filter dari wawasan, pilih **X** yang dilingkari di sebelah filter.
   + Untuk menambahkan filter ke wawasan:

     1. Pilih kotak pencarian.

     1. Pilih atribut dan nilai yang akan digunakan sebagai filter.

     1. Pilih **Terapkan**.

1. Saat pembaruan Anda selesai, pilih **Buat wawasan**.

1. Saat diminta, masukkan **nama Insight**, lalu pilih **Buat wawasan**.

# Mengedit wawasan khusus
<a name="securityhub-custom-insight-modify-console"></a>

Anda dapat mengedit wawasan kustom yang ada untuk mengubah nilai pengelompokan dan filter. Setelah Anda membuat perubahan, Anda dapat menyimpan pembaruan ke wawasan asli, atau menyimpan versi yang diperbarui sebagai wawasan baru.

Di AWS Security Hub CSPM, wawasan khusus dapat digunakan untuk mengumpulkan serangkaian temuan tertentu dan melacak masalah yang unik bagi lingkungan Anda. Untuk informasi latar belakang tentang wawasan khusus, lihat[Memahami wawasan khusus di Security Hub CSPM](securityhub-custom-insights.md).

Untuk mengedit wawasan khusus, pilih metode pilihan Anda, dan ikuti petunjuknya.

------
#### [ Security Hub CSPM console ]

**Untuk mengedit wawasan khusus (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Pilih wawasan khusus untuk dimodifikasi.

1. Edit konfigurasi wawasan sesuai kebutuhan.
   + Untuk mengubah atribut yang digunakan untuk mengelompokkan temuan dalam wawasan:

     1. Untuk menghapus pengelompokan yang ada, pilih **X** di sebelah **Grup dengan** pengaturan.

     1. Pilih kotak pencarian.

     1. Pilih atribut yang akan digunakan untuk pengelompokan.

     1. Pilih **Terapkan**.
   + Untuk menghapus filter dari wawasan, pilih **X** yang dilingkari di sebelah filter.
   + Untuk menambahkan filter ke wawasan:

     1. Pilih kotak pencarian.

     1. Pilih atribut dan nilai yang akan digunakan sebagai filter.

     1. Pilih **Terapkan**.

1. Saat Anda menyelesaikan pembaruan, pilih **Simpan wawasan**.

1. Saat diminta, lakukan salah satu hal berikut:
   + Untuk memperbarui wawasan yang ada untuk mencerminkan perubahan Anda, pilih **Perbarui**, *<Insight\$1Name>* lalu pilih **Simpan wawasan**.
   + Untuk membuat wawasan baru dengan pembaruan, pilih **Simpan wawasan baru**. Masukkan **nama Insight**, lalu pilih **Simpan wawasan**.

------
#### [ Security Hub CSPM API ]

**Untuk mengedit wawasan kustom (API)**

1. Gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)perintah AWS CLI run.

1. Untuk mengidentifikasi wawasan khusus yang ingin Anda perbarui, berikan Amazon Resource Name (ARN) insight tersebut. Untuk mendapatkan ARN dari wawasan khusus, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)operasi atau perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)

1. Perbarui`Name`,`Filters`, dan `GroupByAttribute` parameter sesuai kebutuhan.

Contoh berikut memperbarui wawasan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Untuk mengedit wawasan khusus (PowerShell)**

1. Gunakan `Update-SHUBInsight` cmdlet.

1. Untuk mengidentifikasi wawasan kustom, berikan Amazon Resource Name (ARN) wawasan. Untuk mendapatkan ARN dari wawasan khusus, gunakan cmdlet. `Get-SHUBInsight`

1. Perbarui`Name`,`Filter`, dan `GroupByAttribute` parameter sesuai kebutuhan.

**Contoh**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Menghapus wawasan khusus
<a name="securityhub-custom-insight-delete-console"></a>

Di AWS Security Hub CSPM, wawasan khusus dapat digunakan untuk mengumpulkan serangkaian temuan tertentu dan melacak masalah yang unik bagi lingkungan Anda. Untuk informasi latar belakang tentang wawasan khusus, lihat[Memahami wawasan khusus di Security Hub CSPM](securityhub-custom-insights.md).

Untuk menghapus wawasan khusus, pilih metode pilihan Anda, dan ikuti petunjuknya. Anda tidak dapat menghapus wawasan terkelola.

------
#### [ Security Hub CSPM console ]

**Untuk menghapus wawasan khusus (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Temukan wawasan khusus untuk dihapus.

1. Untuk wawasan itu, pilih ikon opsi lainnya (tiga titik di sudut kanan atas kartu).

1. Pilih **Hapus**.

------
#### [ Security Hub CSPM API ]

**Untuk menghapus wawasan kustom (API)**

1. Gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)perintah AWS CLI run.

1. Untuk mengidentifikasi wawasan khusus yang akan dihapus, berikan ARN wawasan. Untuk mendapatkan ARN dari wawasan khusus, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)operasi atau [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)perintah.

Contoh berikut menghapus wawasan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Untuk menghapus wawasan kustom (PowerShell)**

1. Gunakan `Remove-SHUBInsight` cmdlet.

1. Untuk mengidentifikasi wawasan khusus, berikan ARN wawasan. Untuk mendapatkan ARN dari wawasan khusus, gunakan cmdlet. `Get-SHUBInsight`

**Contoh**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Secara otomatis memodifikasi dan bertindak atas temuan di Security Hub CSPM
<a name="automations"></a>

AWS Security Hub CSPM memiliki fitur yang secara otomatis memodifikasi dan mengambil tindakan atas temuan berdasarkan spesifikasi Anda.

Security Hub CSPM saat ini mendukung dua jenis otomatisasi:
+ **Aturan otomatisasi** — Secara otomatis memperbarui dan menekan temuan dalam waktu dekat berdasarkan kriteria yang Anda tentukan.
+ **Respons dan remediasi otomatis** — Buat EventBridge aturan Amazon khusus yang menentukan tindakan otomatis yang harus diambil terhadap temuan dan wawasan tertentu.

Aturan otomatisasi sangat membantu saat Anda ingin memperbarui bidang pencarian secara otomatis di AWS Security Finding Format (ASFF). Misalnya, Anda dapat menggunakan aturan otomatisasi untuk memperbarui tingkat keparahan atau status alur kerja temuan dari integrasi pihak ketiga tertentu. Menggunakan aturan otomatisasi menghilangkan kebutuhan untuk memperbarui tingkat keparahan atau status alur kerja secara manual dari setiap temuan dari produk pihak ketiga ini.

EventBridge aturan sangat membantu ketika Anda ingin mengambil tindakan di luar CSPM Security Hub sehubungan dengan temuan spesifik atau mengirimkan temuan spesifik ke alat pihak ketiga untuk remediasi atau penyelidikan tambahan. Aturan dapat digunakan untuk memicu tindakan yang didukung, seperti menjalankan AWS Lambda fungsi atau memberi tahu topik Amazon Simple Notification Service (Amazon SNS) tentang temuan tertentu.

Aturan otomatisasi berlaku sebelum EventBridge aturan diterapkan. Artinya, aturan otomatisasi dipicu dan memperbarui temuan sebelum EventBridge menerima temuan. EventBridge aturan kemudian berlaku untuk temuan yang diperbarui.

Saat menyiapkan otomatisasi untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sedangkan Security Hub CSPM terkadang memperbarui judul dan deskripsi kontrol, kontrol IDs tetap sama.

**Topics**
+ [Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md)
+ [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md)

# Memahami aturan otomatisasi di Security Hub CSPM
<a name="automation-rules"></a>

Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Saat mencerna temuan, Security Hub CSPM dapat menerapkan berbagai tindakan aturan, seperti menekan temuan, mengubah tingkat keparahannya, dan menambahkan catatan. Tindakan aturan tersebut mengubah temuan yang sesuai dengan kriteria yang Anda tentukan.

Contoh kasus penggunaan untuk aturan otomatisasi meliputi:
+ Meningkatkan keparahan temuan `CRITICAL` jika ID sumber daya temuan mengacu pada sumber daya bisnis yang penting.
+ Meningkatkan keparahan temuan dari `HIGH` `CRITICAL` jika temuan tersebut memengaruhi sumber daya dalam akun produksi tertentu.
+ Menetapkan temuan spesifik yang memiliki tingkat keparahan status `INFORMATIONAL` `SUPPRESSED` alur kerja.

Anda dapat membuat dan mengelola aturan otomatisasi hanya dari akun administrator CSPM Security Hub.

Aturan berlaku untuk temuan baru dan temuan terbaru. Anda dapat membuat aturan kustom dari awal, atau menggunakan templat aturan yang disediakan oleh Security Hub CSPM. Anda juga dapat memulai dengan template dan memodifikasinya sesuai kebutuhan.

## Mendefinisikan kriteria aturan dan tindakan aturan
<a name="automation-rules-how-it-works"></a>

*Dari akun administrator CSPM Security Hub, Anda dapat membuat aturan otomatisasi dengan menentukan satu atau beberapa *kriteria* aturan dan satu atau beberapa tindakan aturan.* Ketika temuan cocok dengan kriteria yang ditentukan, Security Hub CSPM menerapkan tindakan aturan untuk itu. Untuk informasi selengkapnya tentang kriteria dan tindakan yang tersedia, lihat[Kriteria aturan dan tindakan aturan yang tersedia](#automation-rules-criteria-actions).

Security Hub CSPM saat ini mendukung maksimal 100 aturan otomatisasi untuk setiap akun administrator.

Akun administrator CSPM Security Hub juga dapat mengedit, melihat, dan menghapus aturan otomatisasi. Aturan berlaku untuk pencocokan temuan di akun administrator dan semua akun anggotanya. Dengan menyediakan akun anggota IDs sebagai kriteria aturan, administrator CSPM Security Hub juga dapat menggunakan aturan otomatisasi untuk memperbarui atau menekan temuan di akun anggota tertentu.

Aturan otomatisasi hanya berlaku Wilayah AWS di tempat pembuatannya. Untuk menerapkan aturan di beberapa Wilayah, administrator harus membuat aturan di setiap Wilayah. Ini dapat dilakukan melalui konsol CSPM Security Hub, Security Hub CSPM API, atau. [AWS CloudFormation](creating-resources-with-cloudformation.md) Anda juga dapat menggunakan skrip [penyebaran Multi-wilayah](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).

## Kriteria aturan dan tindakan aturan yang tersedia
<a name="automation-rules-criteria-actions"></a>

Bidang AWS Security Finding Format (ASFF) berikut saat ini didukung sebagai kriteria untuk aturan otomatisasi:


| Kriteria aturan | Operator filter | Jenis bidang | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ComplianceStatus  | Is, Is Not  | Pilih: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Bilangan  | 
| CreatedAt  | Start, End, DateRange  | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Bilangan  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| FirstObservedAt  | Start, End, DateRange  | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| LastObservedAt  | Start, End, DateRange  | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| NoteUpdatedAt  | Start, End, DateRange  | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Peta  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Peta  | 
| ResourceType  | Is, Is Not  | Pilih (lihat [Sumber](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) yang didukung oleh ASFF)  | 
| SeverityLabel  | Is, Is Not  | Pilih: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| UpdatedAt  | Start, End, DateRange  | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS  | Peta  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS  | String  | 
| WorkflowStatus  | Is, Is Not  | Pilih: [NEW,NOTIFIED,RESOLVED,SUPPRESSED]  | 

Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)di Referensi *API CSPM AWS Security Hub*.

Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan pada setiap kriteria, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)di Referensi API *CSPM AWS Security Hub*.

Bidang ASFF berikut saat ini didukung sebagai tindakan untuk aturan otomatisasi:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Untuk informasi selengkapnya tentang bidang ASFF tertentu, lihat sintaks [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

**Tip**  
 Jika Anda ingin Security Hub CSPM berhenti menghasilkan temuan untuk kontrol tertentu, sebaiknya nonaktifkan kontrol daripada menggunakan aturan otomatisasi. Ketika Anda menonaktifkan kontrol, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan di atasnya dan berhenti menghasilkan temuan untuk itu, sehingga Anda tidak akan dikenakan biaya untuk kontrol itu. Sebaiknya gunakan aturan otomatisasi untuk mengubah nilai bidang ASFF tertentu untuk temuan yang sesuai dengan kriteria yang ditentukan. Untuk informasi selengkapnya tentang menonaktifkan kontrol, lihat. [Menonaktifkan kontrol di Security Hub CSPM](disable-controls-overview.md)

## Temuan yang dievaluasi oleh aturan otomatisasi
<a name="automation-rules-findings"></a>

Aturan otomatisasi mengevaluasi temuan baru dan terbaru yang dihasilkan atau dicerna oleh Security Hub CSPM melalui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi *setelah* Anda membuat aturan. Security Hub CSPM memperbarui temuan kontrol setiap 12-24 jam atau ketika sumber daya terkait berubah status. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Aturan otomatisasi mengevaluasi temuan asli yang disediakan penyedia. Penyedia dapat menyediakan temuan baru dan memperbarui temuan yang ada dengan menggunakan `BatchImportFindings` pengoperasian Security Hub CSPM API. Jika bidang berikut tidak ada dalam temuan asli, Security Hub CSPM secara otomatis mengisi bidang dan kemudian menggunakan nilai yang diisi dalam evaluasi dengan aturan otomatisasi:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Setelah Anda membuat satu atau beberapa aturan otomatisasi, aturan tidak akan dipicu jika Anda memperbarui bidang pencarian menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi. Jika Anda membuat aturan otomatisasi dan membuat `BatchUpdateFindings` pembaruan yang memengaruhi bidang temuan yang sama, pembaruan terakhir akan menetapkan nilai untuk bidang tersebut. Ambil contoh berikut:

1. Anda menggunakan `BatchUpdateFindings` operasi untuk mengubah nilai `Workflow.Status` bidang temuan dari `NEW` ke`NOTIFIED`.

1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`NOTIFIED`.

1. Anda membuat aturan otomatisasi yang mengubah `Workflow.Status` bidang temuan dari `NEW` ke`SUPPRESSED`. (Ingat bahwa aturan mengabaikan pembaruan yang dibuat menggunakan `BatchUpdateFindings` operasi.)

1. Penyedia temuan menggunakan `BatchImportFindings` operasi untuk memperbarui temuan dan mengubah nilai untuk `Workflow.Status` bidang temuan ke`NEW`.

1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`SUPPRESSED`. Ini adalah kasus karena aturan otomatisasi diterapkan, dan aturan adalah tindakan terakhir yang diambil pada temuan tersebut.

Saat Anda membuat atau mengedit aturan di konsol CSPM Security Hub, konsol akan menampilkan beta temuan yang sesuai dengan kriteria aturan. Sementara aturan otomatisasi mengevaluasi temuan asli yang dikirim oleh penyedia temuan, beta konsol mencerminkan temuan dalam keadaan akhir mereka karena akan ditampilkan dalam respons terhadap [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operasi (yaitu, setelah tindakan aturan atau pembaruan lain diterapkan pada temuan).

## Cara kerja urutan aturan
<a name="rule-order"></a>

Saat membuat aturan otomatisasi, Anda menetapkan setiap aturan pesanan. Ini menentukan urutan di mana Security Hub CSPM menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.

Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.

Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu. Security Hub CSPM menerapkan aturan berikutnya dalam urutan menaik.

Bila Anda membuat aturan melalui Security Hub CSPM API atau AWS CLI, Security Hub CSPM menerapkan aturan dengan nilai numerik terendah untuk pertama. `RuleOrder` Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).

Anda dapat mengubah urutan aturan kapan saja.

**Contoh urutan aturan**:

**Aturan A (urutan aturan adalah`1`)**:
+ Kriteria Aturan A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type`adalah `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState`adalah `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Aturan A tindakan
  + Perbarui `Confidence` ke `95`
  + Perbarui `Severity` ke `CRITICAL`

**Aturan B (urutan aturan adalah`2`)**:
+ Kriteria aturan B
  + `AwsAccountId` = `123456789012`
+ Tindakan aturan B
  + Perbarui `Severity` ke `INFORMATIONAL`

Aturan Tindakan diterapkan terlebih dahulu pada temuan CSPM Security Hub yang cocok dengan kriteria Aturan A. Selanjutnya, tindakan Aturan B berlaku untuk temuan CSPM Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir `Severity` dalam temuan dari ID akun yang ditentukan adalah`INFORMATIONAL`. Berdasarkan tindakan Aturan A, nilai akhir dari temuan `Confidence` yang cocok adalah`95`.

# Membuat aturan otomatisasi
<a name="create-automation-rules"></a>

Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Anda dapat membuat aturan otomatisasi kustom dari awal atau, di konsol CSPM Security Hub, gunakan templat aturan yang telah diisi sebelumnya. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Anda hanya dapat membuat satu aturan otomatisasi pada satu waktu. Untuk membuat beberapa aturan otomatisasi, ikuti prosedur konsol beberapa kali, atau panggil API atau perintah beberapa kali dengan parameter yang Anda inginkan.

Anda harus membuat aturan otomatisasi di setiap Wilayah dan akun di mana Anda ingin aturan tersebut diterapkan pada temuan.

Saat Anda membuat aturan otomatisasi di konsol CSPM Security Hub, Security Hub CSPM menunjukkan versi beta dari temuan yang diterapkan aturan Anda. Beta saat ini tidak didukung jika kriteria aturan Anda menyertakan filter CONTAINS atau NOT\$1CONTAINS. Anda dapat memilih filter ini untuk jenis bidang peta dan string.

**penting**  
AWS merekomendasikan agar Anda tidak menyertakan informasi identitas pribadi, rahasia, atau sensitif dalam nama aturan, deskripsi, atau bidang lainnya.

## Membuat aturan otomatisasi khusus
<a name="create-automation-rules-custom"></a>

Pilih metode pilihan Anda, dan selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi kustom.

------
#### [ Console ]

**Untuk membuat aturan otomatisasi kustom (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan kustom**.

1. Di bagian **Aturan**, berikan nama aturan unik dan deskripsi untuk aturan Anda.

1. Untuk **Kriteria**, gunakan menu drop-down **Kunci**, **Operator**, dan **Nilai** untuk menentukan kriteria aturan Anda. Anda harus menentukan setidaknya satu kriteria aturan.

   Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.

1. Untuk **tindakan Otomatis**, gunakan menu tarik-turun untuk menentukan bidang pencarian mana yang akan diperbarui saat temuan cocok dengan kriteria aturan Anda. Anda harus menentukan setidaknya satu tindakan aturan.

1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.

1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.

1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.

1. Pilih **Buat aturan**.

------
#### [ API ]

**Untuk membuat aturan otomatisasi kustom (API)**

1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dari akun administrator CSPM Security Hub. API ini membuat aturan dengan Amazon Resource Name (ARN) tertentu.

1. Sediakan nama dan deskripsi untuk aturan.

1. Tetapkan `IsTerminal` parameter ke `true` jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.

1. Untuk `RuleOrder` parameter, berikan urutan aturan. Security Hub CSPM menerapkan aturan dengan nilai numerik yang lebih rendah untuk parameter ini terlebih dahulu.

1. Untuk `RuleStatus` parameter, tentukan apakah Anda ingin CSPM Security Hub mengaktifkan dan mulai menerapkan aturan ke temuan setelah pembuatan. Jika tidak ada nilai yang ditentukan, nilai defaultnya adalah `ENABLED`. Nilai `DISABLED` berarti bahwa aturan dijeda setelah penciptaan.

1. Untuk `Criteria` parameternya, berikan kriteria yang ingin digunakan CSPM Security Hub untuk memfilter temuan Anda. Tindakan aturan akan berlaku untuk temuan yang sesuai dengan kriteria. Untuk daftar kriteria yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).

1. Untuk `Actions` parameternya, berikan tindakan yang ingin dilakukan CSPM Security Hub saat ada kecocokan antara temuan dan kriteria yang ditentukan. Untuk daftar tindakan yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).

Contoh AWS CLI perintah berikut membuat aturan otomatisasi memperbarui status alur kerja dan catatan temuan yang cocok. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```

------

## Membuat aturan otomatisasi dari template (hanya konsol)
<a name="create-automation-rules-template"></a>

Template aturan mencerminkan kasus penggunaan umum untuk aturan otomatisasi. Saat ini, hanya konsol CSPM Security Hub yang mendukung template aturan. Selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi dari templat di konsol.

**Untuk membuat aturan otomatisasi dari template (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan dari templat**.

1. Pilih template aturan dari menu drop-down.

1. (Opsional) Jika perlu untuk kasus penggunaan Anda, ubah bagian **Aturan**, **Kriteria**, dan **Tindakan Otomatis**. Anda harus menentukan setidaknya satu kriteria aturan dan satu tindakan aturan.

   Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.

1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.

1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.

1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.

1. Pilih **Buat aturan**.

# Melihat aturan otomatisasi
<a name="view-automation-rules"></a>

Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat aturan otomatisasi yang ada dan detail setiap aturan.

Untuk melihat riwayat bagaimana aturan otomatisasi telah mengubah temuan Anda, lihat[Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md).

------
#### [ Console ]

**Untuk melihat aturan otomatisasi (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih nama aturan. Atau, pilih aturan.

1. Pilih **Tindakan** dan **Tampilan**.

------
#### [ API ]

**Untuk melihat aturan otomatisasi (API)**

1. Untuk melihat aturan otomatisasi akun Anda, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dari akun administrator CSPM Security Hub. API ini mengembalikan aturan ARNs dan metadata lainnya untuk aturan Anda. Tidak ada parameter input yang diperlukan untuk API ini, tetapi Anda dapat secara opsional menyediakan `MaxResults` untuk membatasi jumlah hasil dan `NextToken` sebagai parameter pagination. Nilai awal `NextToken` harus`NULL`.

1. Untuk detail aturan tambahan, termasuk kriteria dan tindakan untuk aturan, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dari akun administrator CSPM Security Hub. Berikan aturan ARNs otomatisasi yang Anda inginkan detailnya.

   Contoh berikut mengambil rincian untuk aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

   ```
   $ aws securityhub batch-get-automation-rules \
   --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
   --region us-east-1
   ```

------

# Mengedit aturan otomatisasi
<a name="edit-automation-rules"></a>

Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan. Saat Anda mengedit aturan otomatisasi, perubahan tersebut berlaku untuk temuan baru dan terbaru yang dihasilkan atau dikonsumsi CSPM Security Hub setelah aturan diedit.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit konten aturan otomatisasi. Anda dapat mengedit satu atau beberapa aturan dengan satu permintaan. Untuk petunjuk tentang urutan aturan pengeditan, lihat[Mengedit urutan aturan otomatisasi](edit-rule-order.md).

------
#### [ Console ]

**Untuk mengedit aturan otomatisasi (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih aturan yang ingin Anda edit. Pilih **Tindakan** dan **Edit**.

1. Ubah aturan sesuai keinginan, dan pilih **Simpan perubahan**.

------
#### [ API ]

**Untuk mengedit aturan otomatisasi (API)**

1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dari akun administrator CSPM Security Hub.

1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang ingin Anda edit.

1. Berikan nilai baru untuk parameter yang ingin Anda edit. Anda dapat mengedit parameter apa pun kecuali`RuleArn`.

Contoh berikut memperbarui aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1
```

------

# Mengedit urutan aturan otomatisasi
<a name="edit-rule-order"></a>

Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan.

Jika Anda ingin menjaga kriteria aturan dan tindakan tetap sama, tetapi mengubah urutan di mana Security Hub CSPM menerapkan aturan otomatisasi, Anda dapat mengedit hanya urutan aturan. Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit urutan aturan.

Untuk petunjuk tentang mengedit kriteria atau tindakan aturan otomatisasi, lihat[Mengedit aturan otomatisasi](edit-automation-rules.md).

------
#### [ Console ]

**Untuk mengedit urutan aturan otomatisasi (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih aturan yang urutannya ingin Anda ubah. Pilih **Edit prioritas**.

1. Pilih **Pindah ke atas** untuk meningkatkan prioritas aturan dengan satu unit. Pilih **Pindah ke bawah** untuk mengurangi prioritas aturan sebanyak satu unit. Pilih **Pindah ke atas** untuk menetapkan aturan urutan **1** (ini memberikan aturan lebih diutamakan daripada aturan lain yang ada).

**catatan**  
Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu.

------
#### [ API ]

**Untuk mengedit urutan aturan otomatisasi (API)**

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operasi dari akun administrator CSPM Security Hub.

1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang urutannya ingin Anda edit.

1. Ubah nilai `RuleOrder` bidang.

**catatan**  
Jika beberapa aturan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).

------

# Menghapus atau menonaktifkan aturan otomatisasi
<a name="delete-automation-rules"></a>

Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).

Saat Anda menghapus aturan otomatisasi, Security Hub CSPM menghapusnya dari akun Anda dan tidak lagi menerapkan aturan tersebut pada temuan. Sebagai alternatif untuk penghapusan, Anda dapat *menonaktifkan aturan*. Ini mempertahankan aturan untuk penggunaan di masa mendatang, tetapi CSPM Security Hub tidak akan menerapkan aturan tersebut pada temuan yang cocok sampai Anda mengaktifkannya.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus aturan otomatisasi. Anda dapat menghapus satu atau beberapa aturan dalam satu permintaan.

------
#### [ Console ]

**Untuk menghapus atau menonaktifkan aturan otomatisasi (konsol)**

1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Otomatisasi**.

1. Pilih aturan yang ingin Anda hapus. Pilih **Tindakan** dan **Hapus** (untuk mempertahankan aturan, tetapi nonaktifkan sementara, pilih **Nonaktifkan**).

1. Konfirmasikan pilihan Anda, dan pilih **Hapus**.

------
#### [ API ]

**Untuk menghapus atau menonaktifkan aturan otomatisasi (API)**

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operasi dari akun administrator CSPM Security Hub.

1. Untuk `AutomationRulesArns` parameter, berikan ARN dari aturan yang ingin Anda hapus (untuk mempertahankan aturan, tetapi nonaktifkan sementara, sediakan `DISABLED` `RuleStatus` parameternya).

Contoh berikut menghapus aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```

------

# Contoh aturan otomatisasi
<a name="examples-automation-rules"></a>

Bagian ini memberikan contoh aturan otomatisasi untuk kasus penggunaan CSPM Security Hub umum. Contoh-contoh ini sesuai dengan template aturan yang tersedia di konsol CSPM Security Hub.

## Tingkatkan tingkat keparahan menjadi Kritis saat sumber daya tertentu seperti bucket S3 berisiko
<a name="example-automation-rule-severity-resource"></a>

Dalam contoh ini, kriteria aturan dicocokkan ketika `ResourceId` dalam temuan adalah bucket Amazon Simple Storage Service (Amazon S3) tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`. Anda dapat memodifikasi template ini untuk diterapkan ke sumber daya lain.

**Contoh permintaan API**:

```
{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Contoh perintah CLI:**

```
$ 
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Meningkatkan keparahan temuan yang berhubungan dengan sumber daya dalam akun produksi
<a name="example-automation-rule-severity-change"></a>

Dalam contoh ini, kriteria aturan dicocokkan ketika temuan `HIGH` tingkat keparahan dihasilkan di akun produksi tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`.

**Contoh permintaan API**:

```
{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub CSPM",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Contoh perintah CLI**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

## Menekan temuan informasi
<a name="example-automation-rule-change-workflow"></a>

Dalam contoh ini, kriteria aturan dicocokkan untuk temuan `INFORMATIONAL` tingkat keparahan yang dikirim ke Security Hub CSPM dari Amazon. GuardDuty Tindakan aturannya adalah mengubah status alur kerja dari temuan yang cocok menjadi. `SUPPRESSED`

**Contoh permintaan API**:

```
{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}
```

**Contoh perintah CLI**:

```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```

# Menggunakan EventBridge untuk respon otomatis dan remediasi
<a name="securityhub-cloudwatch-events"></a>

Dengan membuat aturan di Amazon EventBridge, Anda dapat merespons temuan CSPM AWS Security Hub secara otomatis. Security Hub CSPM mengirimkan temuan sebagai *peristiwa* EventBridge dalam waktu nyaris nyata. Anda dapat menulis aturan sederhana untuk menunjukkan acara mana yang Anda minati dan tindakan otomatis apa yang harus diambil ketika suatu acara cocok dengan aturan. Tindakan yang dapat dipicu secara otomatis meliputi hal-hal berikut:
+ Memanggil fungsi AWS Lambda 
+ Memanggil perintah Amazon EC2 run
+ Mengirim peristiwa ke Amazon Kinesis Data Streams
+ Mengaktifkan mesin AWS Step Functions negara
+ Memberi tahu topik Amazon SNS atau antrean Amazon SQS
+ Mengirim temuan ke tiket pihak ketiga, obrolan, SIEM, atau alat manajemen dan respons insiden

Security Hub CSPM secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke EventBridge sebagai EventBridge peristiwa. Anda juga dapat membuat tindakan kustom yang memungkinkan Anda mengirim temuan dan hasil wawasan yang dipilih EventBridge.

Anda kemudian mengonfigurasi EventBridge aturan untuk merespons setiap jenis acara.

Untuk informasi selengkapnya tentang penggunaan EventBridge, lihat [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).

**catatan**  
Sebagai praktik terbaik, pastikan bahwa izin yang diberikan kepada pengguna Anda untuk mengakses EventBridge menggunakan kebijakan least-privilege AWS Identity and Access Management (IAM) yang hanya memberikan izin yang diperlukan.  
Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses di Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html). 

Satu set templat untuk respons dan remediasi otomatis lintas akun juga tersedia di AWS Solusi. Template memanfaatkan aturan EventBridge acara dan fungsi Lambda. Anda menggunakan solusi menggunakan CloudFormation dan AWS Systems Manager. Solusinya dapat membuat respons dan tindakan remediasi yang sepenuhnya otomatis. Hal ini juga dapat menggunakan Security Hub CSPM tindakan kustom untuk membuat respon yang dipicu pengguna dan tindakan remediasi. Untuk detail tentang cara mengonfigurasi dan menggunakan solusi, lihat [halaman AWS Solusi Respons Keamanan Otomatis](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).

**Topics**
+ [Jenis acara CSPM Security Hub di EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge format acara untuk Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md)
+ [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md)

# Jenis acara CSPM Security Hub di EventBridge
<a name="securityhub-cwe-integration-types"></a>

Security Hub CSPM menggunakan jenis EventBridge acara Amazon berikut untuk diintegrasikan. EventBridge

Di EventBridge dasbor untuk Security Hub CSPM, **Semua Acara** mencakup semua jenis acara ini.

## Semua temuan (Security Hub Findings - Imported)
<a name="securityhub-cwe-integration-types-all-findings"></a>

 Security Hub CSPM secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke EventBridge sebagai **Security Hub Findings - Imported**peristiwa. Setiap **Security Hub Findings - Imported**peristiwa berisi satu temuan.

Setiap [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)permintaan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)dan memicu suatu **Security Hub Findings - Imported**peristiwa.

Untuk akun administrator, feed acara EventBridge termasuk peristiwa untuk temuan dari akun mereka dan dari akun anggota mereka.

Di Wilayah agregasi, umpan acara mencakup peristiwa untuk temuan dari Wilayah agregasi dan Wilayah terkait. Temuan Lintas Wilayah dimasukkan dalam umpan acara dalam waktu dekat. Untuk informasi tentang cara mengonfigurasi agregasi pencarian, lihat[Memahami agregasi lintas wilayah di Security Hub CSPM](finding-aggregation.md).

Anda dapat menentukan aturan EventBridge yang secara otomatis merutekan temuan ke alur kerja remediasi, alat pihak ketiga, atau target [lain yang didukung EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Aturan dapat mencakup filter yang hanya menerapkan aturan jika temuan memiliki nilai atribut tertentu.

Anda menggunakan metode ini untuk secara otomatis mengirim semua temuan, atau semua temuan yang memiliki karakteristik spesifik, ke alur kerja respons atau remediasi.

Lihat [Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md).

## Temuan untuk tindakan kustom (Security Hub Findings - Custom Action)
<a name="securityhub-cwe-integration-types-finding-custom-action"></a>

Security Hub CSPM juga mengirimkan temuan yang terkait dengan tindakan kustom ke EventBridge as **Security Hub Findings - Custom Action**events.

Ini berguna bagi analis yang bekerja dengan konsol CSPM Security Hub yang ingin mengirim temuan tertentu, atau serangkaian kecil temuan, ke alur kerja respons atau remediasi. Anda dapat memilih tindakan kustom hingga 20 temuan sekaligus. Setiap temuan dikirim EventBridge sebagai EventBridge acara terpisah.

Saat membuat tindakan kustom, Anda menetapkannya ID tindakan kustom. Anda dapat menggunakan ID ini untuk membuat EventBridge aturan yang mengambil tindakan tertentu setelah menerima temuan yang terkait dengan ID tindakan kustom tersebut.

Lihat [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).

Misalnya, Anda dapat membuat tindakan kustom di Security Hub CSPM yang dipanggil. `send_to_ticketing` Kemudian EventBridge, Anda membuat aturan yang dipicu saat EventBridge menerima temuan yang menyertakan ID tindakan `send_to_ticketing` kustom. Aturannya mencakup logika untuk mengirim temuan ke sistem tiket Anda. Anda kemudian dapat memilih temuan dalam Security Hub CSPM dan menggunakan tindakan kustom di Security Hub CSPM untuk mengirim temuan secara manual ke sistem tiket Anda.

Untuk contoh cara mengirim temuan CSPM Security Hub EventBridge untuk diproses lebih lanjut, lihat [Cara Mengintegrasikan AWS Security Hub CSPM Custom Actions dengan PagerDuty dan Cara Mengaktifkan Tindakan Kustom](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [di Security Hub CSPM di AWS Blog](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) AWS Partner Network (APN).

## Hasil wawasan untuk tindakan kustom (Security Hub Insight Results)
<a name="securityhub-cwe-integration-types-insight-custom-action"></a>

Anda juga dapat menggunakan tindakan kustom untuk mengirim kumpulan hasil wawasan ke EventBridge sebagai **Security Hub Insight Results**peristiwa. Hasil wawasan adalah sumber daya yang cocok dengan wawasan. Perhatikan bahwa ketika Anda mengirim hasil wawasan ke EventBridge, Anda tidak mengirimkan temuan ke EventBridge. Anda hanya mengirimkan pengenal sumber daya yang terkait dengan hasil wawasan. Anda dapat mengirim hingga 100 pengidentifikasi sumber daya sekaligus.

Mirip dengan tindakan kustom untuk temuan, pertama-tama Anda membuat tindakan kustom di Security Hub CSPM, lalu membuat aturan di. EventBridge

Lihat [Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).

Misalnya, Anda melihat hasil wawasan tertentu yang menarik yang ingin Anda bagikan dengan rekan kerja. Dalam hal ini, Anda dapat menggunakan tindakan khusus untuk mengirimkan hasil wawasan tersebut ke kolega melalui sistem obrolan atau tiket.

# EventBridge format acara untuk Security Hub CSPM
<a name="securityhub-cwe-event-formats"></a>

Jenis **Security Hub Findings - Imported**Security Findings - Custom Action****,, dan **Security Hub Insight Results**acara menggunakan format acara berikut.

Format acara adalah format yang digunakan saat Security Hub CSPM mengirimkan acara ke. EventBridge

## Security Hub Findings - Imported
<a name="securityhub-cwe-event-formats-findings-imported"></a>

**Security Hub Findings - Imported**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut.

```
{
   "version":"0",
   "id":"CWE-event-id",
   "detail-type":"Security Hub Findings - Imported",
   "source":"aws.securityhub",
   "account":"111122223333",
   "time":"2019-04-11T21:52:17Z",
   "region":"us-west-2",
   "resources":[
      "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
   ],
   "detail":{
      "findings": [{
         <finding content>
       }]
   }
}
```

`<finding content>`adalah konten, dalam format JSON, dari temuan yang dikirim oleh acara. Setiap peristiwa mengirimkan satu temuan.

Untuk daftar lengkap menemukan atribut, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

Untuk informasi tentang cara mengonfigurasi EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub](securityhub-cwe-all-findings.md).

## Security Hub Findings - Custom Action
<a name="securityhub-cwe-event-formats-findings-custom-action"></a>

**Security Hub Findings - Custom Action**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut. Setiap temuan dikirim dalam acara terpisah.

```
{
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Findings - Custom Action",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2019-04-11T18:43:48Z",
  "region": "us-west-1",
  "resources": [
    "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
  ],
  "detail": {
    "actionName":"custom-action-name",
    "actionDescription": "description of the action",
    "findings": [
      {
        <finding content>
      }
    ]
  }
}
```

`<finding content>`adalah konten, dalam format JSON, dari temuan yang dikirim oleh acara. Setiap peristiwa mengirimkan satu temuan.

Untuk daftar lengkap menemukan atribut, lihat[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md).

Untuk informasi tentang cara mengonfigurasi EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).

## Security Hub Insight Results
<a name="securityhub-cwe-event-formats-insight-results"></a>

**Security Hub Insight Results**peristiwa yang dikirim dari Security Hub CSPM untuk EventBridge menggunakan format berikut.

```
{ 
  "version": "0",
  "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
  "detail-type": "Security Hub Insight Results",
  "source": "aws.securityhub",
  "account": "111122223333",
  "time": "2017-12-22T18:43:48Z",
  "region": "us-west-1",
  "resources": [
      "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
  ],
  "detail": {
    "actionName":"name of the action",
    "actionDescription":"description of the action",
    "insightArn":"ARN of the insight",
    "insightName":"Name of the insight",
    "resultType":"ResourceAwsIamAccessKeyUserName",
    "number of results":"number of results, max of 100",
    "insightResults": [
        {"result 1": 5},
        {"result 2": 6}
    ]
  }
}
```

Untuk informasi tentang cara membuat EventBridge aturan yang dipicu oleh peristiwa ini, lihat[Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge](securityhub-cwe-custom-actions.md).

# Mengkonfigurasi EventBridge aturan untuk temuan CSPM Security Hub
<a name="securityhub-cwe-all-findings"></a>

Anda dapat membuat aturan di Amazon EventBridge yang menentukan tindakan yang harus diambil saat **Security Hub Findings - Imported**acara diterima. **Security Hub Findings - Imported**peristiwa dipicu oleh pembaruan dari kedua [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)dan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi.

Setiap aturan berisi pola peristiwa, yang mengidentifikasi peristiwa yang memicu aturan. Pola acara selalu berisi sumber peristiwa (`aws.securityhub`) dan jenis acara (**Temuan Security Hub - Imported**). Pola peristiwa juga dapat menentukan filter untuk mengidentifikasi temuan yang berlaku aturan tersebut.

Aturan acara kemudian mengidentifikasi target aturan. Targetnya adalah tindakan yang harus diambil saat EventBridge menerima **Temuan Security Hub - Acara yang diimpor** dan temuannya cocok dengan filter.

Instruksi yang diberikan di sini menggunakan EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan untuk EventBridge menulis ke Amazon Logs. CloudWatch 

Anda juga dapat menggunakan [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)pengoperasian EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk informasi tentang kebijakan yang diperlukan, lihat [Izin CloudWatch log](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) di *Panduan EventBridge Pengguna Amazon*.

## Format pola acara
<a name="securityhub-cwe-all-findings-rule-format"></a>

Format pola acara untuk **Temuan Security Hub - Peristiwa yang diimpor** adalah sebagai berikut:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Imported"
  ],
  "detail": {
    "findings": {
      <attribute filter values>
    }
  }
}
```
+ `source`mengidentifikasi Security Hub CSPM sebagai layanan yang menghasilkan acara.
+ `detail-type`mengidentifikasi jenis acara.
+ `detail`bersifat opsional dan memberikan nilai filter untuk pola acara. Jika pola peristiwa tidak mengandung `detail` bidang, maka semua temuan memicu aturan.

Anda dapat memfilter temuan berdasarkan atribut temuan apa pun. Untuk setiap atribut, Anda menyediakan array dipisahkan koma dari satu atau lebih nilai.

```
"<attribute name>": [ "<value1>", "<value2>"]
```

Jika Anda memberikan lebih dari satu nilai untuk atribut, maka nilai-nilai tersebut digabungkan oleh`OR`. Temuan cocok dengan filter untuk atribut individual jika temuan memiliki salah satu nilai yang terdaftar. Misalnya, jika Anda memberikan keduanya `INFORMATIONAL` dan `LOW` sebagai nilai untuk`Severity.Label`, maka temuan tersebut cocok jika memiliki label keparahan salah satu `INFORMATIONAL` atau`LOW`.

Atribut bergabung dengan`AND`. Temuan cocok jika cocok dengan kriteria filter untuk semua atribut yang disediakan.

Ketika Anda memberikan nilai atribut, itu harus mencerminkan lokasi atribut tersebut dalam struktur AWS Security Finding Format (ASFF).

**Tip**  
Saat memfilter temuan kontrol, sebaiknya gunakan [bidang `SecurityControlId` atau `SecurityControlArn` ASFF](securityhub-findings-format.md) sebagai filter, bukan `Title` atau. `Description` Bidang yang terakhir dapat berubah sesekali, sedangkan ID kontrol dan ARN adalah pengidentifikasi statis.

Dalam contoh berikut, pola peristiwa memberikan nilai filter untuk `ProductArn` dan`Severity.Label`, sehingga temuan cocok jika dihasilkan oleh Amazon Inspector dan memiliki label keparahan salah satu atau`INFORMATIONAL`. `LOW`

```
{
    "source": [
        "aws.securityhub"
     ],
    "detail-type": [
        "Security Hub Findings - Imported"
    ],
    "detail": {
        "findings": {
            "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
            "Severity": {
                "Label": ["INFORMATIONAL", "LOW"]
            }
        }
    }
}
```

## Membuat aturan acara
<a name="securityhub-cwe-all-findings-predefined-pattern"></a>

Anda dapat menggunakan pola peristiwa yang telah ditentukan atau pola acara khusus untuk membuat aturan di EventBridge. Jika Anda memilih pola yang telah ditentukan, EventBridge secara otomatis mengisi dan. `source` `detail-type` EventBridge juga menyediakan bidang untuk menentukan nilai filter untuk atribut temuan berikut:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`

**Untuk membuat EventBridge aturan (konsol)**

1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Dengan menggunakan nilai berikut, buat EventBridge aturan yang memantau penemuan peristiwa:
   + Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.
   + Pilih cara membangun pola acara.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
   + Untuk **jenis Target**, pilih **AWS layanan**, dan untuk **Pilih target**, pilih target seperti topik atau AWS Lambda fungsi Amazon SNS. Target terpicu saat peristiwa diterima yang sesuai dengan pola peristiwa yang ditentukan dalam aturan.

   Untuk detail tentang membuat aturan, lihat [Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.

# Menggunakan tindakan khusus untuk mengirim temuan dan hasil wawasan ke EventBridge
<a name="securityhub-cwe-custom-actions"></a>

Untuk menggunakan tindakan kustom CSPM AWS Security Hub untuk mengirim temuan atau hasil wawasan ke Amazon EventBridge, Anda terlebih dahulu membuat tindakan kustom di Security Hub CSPM. Kemudian, Anda dapat menentukan aturan EventBridge yang berlaku untuk tindakan kustom Anda.

Anda dapat membuat hingga 50 tindakan kustom.

Jika Anda mengaktifkan agregasi lintas wilayah, dan mengelola temuan dari Wilayah agregasi, maka buat tindakan kustom di Wilayah agregasi.

Aturan dalam EventBridge menggunakan Amazon Resource Name (ARN) dari tindakan kustom.

# Membuat tindakan kustom
<a name="securityhub-cwe-configure"></a>

Saat membuat tindakan kustom di AWS Security Hub CSPM, Anda menentukan nama, deskripsi, dan pengenal uniknya.

Tindakan kustom menentukan tindakan mana yang harus diambil saat EventBridge acara cocok dengan EventBridge aturan. Security Hub CSPM mengirimkan setiap temuan EventBridge sebagai sebuah acara.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk membuat tindakan kustom.

------
#### [ Console ]

**Untuk membuat tindakan kustom di Security Hub CSPM (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Pengaturan** dan kemudian pilih **Tindakan kustom**.

1. Pilih **Buat tindakan kustom**.

1. Berikan **Nama**, **Deskripsi**, dan **ID tindakan Kustom** untuk tindakan tersebut.

   **Nama** harus kurang dari 20 karakter.

   **ID tindakan kustom** harus unik untuk setiap AWS akun.

1. Pilih **Buat tindakan kustom**.

1. Catat **ARN tindakan Kustom**. Anda perlu menggunakan ARN saat membuat aturan untuk dikaitkan dengan tindakan ini di. EventBridge

------
#### [ API ]

**Untuk membuat tindakan kustom (API)**

Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)perintah.

Contoh berikut membuat tindakan kustom untuk mengirim temuan ke alat remediasi. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.

```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```

------

# Mendefinisikan aturan di EventBridge
<a name="securityhub-cwe-define-rule"></a>

Untuk memicu tindakan kustom di Amazon EventBridge, Anda harus membuat aturan yang sesuai di EventBridge. Definisi aturan mencakup Nama Sumber Daya Amazon (ARN) dari tindakan kustom.

Pola acara untuk **Temuan Security Hub - peristiwa Tindakan Kustom** memiliki format berikut:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Findings - Custom Action"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

Pola acara untuk acara **Hasil Wawasan Security Hub** memiliki format berikut:

```
{
  "source": [
    "aws.securityhub"
  ],
  "detail-type": [
    "Security Hub Insight Results"
  ],
  "resources": [ "<custom action ARN>" ]
}
```

Dalam kedua pola, `<custom action ARN>` adalah ARN dari tindakan khusus. Anda dapat mengonfigurasi aturan yang berlaku untuk lebih dari satu tindakan kustom.

Instruksi yang diberikan di sini adalah untuk EventBridge konsol. Saat Anda menggunakan konsol, EventBridge secara otomatis membuat kebijakan berbasis sumber daya yang diperlukan yang memungkinkan EventBridge untuk menulis ke Log. CloudWatch 

Anda juga dapat menggunakan operasi [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API EventBridge API. Namun, jika Anda menggunakan EventBridge API, Anda harus membuat kebijakan berbasis sumber daya. Untuk detail tentang kebijakan yang diperlukan, lihat [Izin CloudWatch log](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) di *Panduan EventBridge Pengguna Amazon*.

**Untuk menentukan aturan di EventBridge (EventBridge konsol)**

1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Di panel navigasi, pilih **Aturan**.

1. Pilih **Buat aturan**.

1. Masukkan nama dan deskripsi aturan.

1. Untuk **bus acara**, pilih bus acara yang ingin Anda kaitkan dengan aturan ini. Jika Anda ingin aturan ini cocok dengan peristiwa yang berasal dari akun Anda, pilih **default**. Saat layanan AWS di akun Anda menghasilkan kejadian, layanan tersebut akan selalu masuk ke bus kejadian default akun Anda.

1. Untuk **Tipe aturan**, pilih **Aturan dengan pola peristiwa**.

1. Pilih **Selanjutnya**.

1. Untuk **sumber Acara**, pilih **AWS acara**.

1. Untuk **pola Acara**, pilih **Formulir pola acara**.

1. Untuk **Sumber peristiwa**, pilih **Layanan AWS **.

1. Untuk **AWS layanan**, pilih **Security Hub**.

1. Untuk **Jenis peristiwa**, lakukan salah satu hal berikut:
   + Untuk membuat aturan yang akan diterapkan saat Anda mengirim temuan ke tindakan kustom, pilih **Temuan Security Hub - Tindakan Kustom**.
   + Untuk membuat aturan yang akan diterapkan saat Anda mengirim hasil wawasan ke tindakan kustom, pilih **Hasil Wawasan Security Hub**.

1. Pilih **Tindakan khusus khusus ARNs**, tambahkan ARN tindakan kustom.

   Jika aturan berlaku untuk beberapa tindakan kustom, pilih **Tambah untuk menambahkan** lebih banyak tindakan kustom ARNs.

1. Pilih **Berikutnya**.

1. Di bawah **Pilih target**, pilih dan konfigurasikan target yang akan dipanggil saat aturan ini cocok.

1. Pilih **Berikutnya**.

1. (Opsional) Masukkan satu atau lebih tanda untuk aturan. Untuk informasi selengkapnya, lihat [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) *di Panduan EventBridge Pengguna Amazon*.

1. Pilih **Berikutnya**.

1. Tinjau detail aturan dan pilih **Buat aturan**.

   Saat Anda melakukan tindakan kustom pada hasil temuan atau wawasan di akun Anda, peristiwa akan dihasilkan EventBridge.

# Memilih tindakan khusus untuk temuan dan hasil wawasan
<a name="securityhub-cwe-send"></a>

Setelah membuat tindakan kustom CSPM AWS Security Hub dan EventBridge aturan Amazon, Anda dapat mengirimkan hasil temuan dan wawasan EventBridge untuk pengelolaan dan pemrosesan otomatis.

Acara dikirim ke EventBridge hanya di akun di mana mereka dilihat. Jika Anda melihat temuan menggunakan akun administrator, acara dikirim ke EventBridge akun administrator.

Agar panggilan AWS API efektif, implementasi kode target harus beralih peran ke akun anggota. Ini juga berarti bahwa peran yang Anda alihkan harus diterapkan ke setiap anggota di mana tindakan diperlukan.

**Untuk mengirim temuan ke EventBridge (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Menampilkan daftar temuan:
   + Dari **Temuan**, Anda dapat melihat temuan dari semua integrasi dan kontrol produk yang diaktifkan.
   + Dari **standar Keamanan**, Anda dapat menavigasi ke daftar temuan yang dihasilkan dari kontrol tertentu. Untuk informasi selengkapnya, lihat [Meninjau rincian kontrol di Security Hub CSPM](securityhub-standards-control-details.md).
   + Dari **Integrasi**, Anda dapat menavigasi ke daftar temuan yang dihasilkan oleh integrasi yang diaktifkan. Untuk informasi selengkapnya, lihat [Melihat temuan dari integrasi CSPM Security Hub](securityhub-integration-view-findings.md).
   + Dari **Wawasan**, Anda dapat menavigasi ke daftar temuan untuk hasil wawasan. Untuk informasi selengkapnya, lihat [Meninjau dan bertindak berdasarkan wawasan di Security Hub CSPM](securityhub-insights-view-take-action.md).

1. Pilih temuan untuk dikirim EventBridge. Anda dapat memilih hingga 20 temuan sekaligus.

1. Dari **Tindakan**, pilih tindakan kustom yang selaras dengan EventBridge aturan yang akan diterapkan.

   Security Hub CSPM mengirimkan **temuan Security Hub terpisah - peristiwa Tindakan Kustom** untuk setiap temuan.

**Untuk mengirim hasil wawasan ke EventBridge (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pada panel navigasi, silakan pilih **Wawasan**.

1. Pada halaman **Insights**, pilih insight yang menyertakan hasil yang akan dikirimkan EventBridge.

1. Pilih hasil wawasan yang akan dikirim EventBridge. Anda dapat memilih hingga 20 hasil sekaligus.

1. Dari **Tindakan**, pilih tindakan kustom yang selaras dengan EventBridge aturan yang akan diterapkan.

# Bekerja dengan dasbor di Security Hub CSPM
<a name="dashboard"></a>

Di konsol CSPM Security Hub, dasbor **Ringkasan** menampilkan ringkasan risiko, urutan serangan, dan cakupan keamanan Anda. Dasbor ini membantu Anda mengidentifikasi risiko dan urutan serangan berdasarkan tingkat keparahan dan cakupan akun untuk berbagai kemampuan keamanan. Setiap kali Anda membuka dasbor, itu akan menyegarkan secara otomatis. Namun, perhatikan bahwa skor keamanan dan status kontrol disegarkan setiap 24 jam. 

Anda dapat menyesuaikan dasbor **Ringkasan** dengan menambahkan dan menghapus widget keamanan yang berbeda darinya. Anda juga dapat menentukan kriteria filter untuk mengambil dan menampilkan jenis data tertentu. Jika Anda menyesuaikan dasbor, Security Hub menyimpan pengaturan penyesuaian Anda. Jika pengguna lain dari akun Anda menyesuaikan dasbor, perubahan mereka disimpan secara independen dari pengaturan penyesuaian Anda. 

Jika Anda mengonfigurasi agregasi Lintas wilayah di CSPM Security Hub, dasbor **Ringkasan** menampilkan data gabungan Anda. Jika akun Anda adalah akun administrator yang didelegasikan untuk suatu organisasi, data tersebut mencakup temuan untuk akun Anda dan akun anggota Anda. Jika akun Anda adalah akun anggota atau akun mandiri, data hanya mencakup temuan untuk akun Anda.

**Topics**
+ [Widget yang tersedia untuk dasbor Ringkasan](#available-widgets)
+ [Memfilter dasbor](filters-dashboard.md)
+ [Menyesuaikan dasbor](customize-dashboard.md)

## Widget yang tersedia untuk dasbor Ringkasan
<a name="available-widgets"></a>

Dasbor **Ringkasan** mencakup widget yang mencerminkan lanskap ancaman keamanan cloud modern, dipandu oleh operasi keamanan dan pengalaman AWS pelanggan. Beberapa widget ditampilkan secara default sementara yang lain tidak. Anda dapat menyesuaikan tampilan dasbor dengan menambahkan atau menghapus widget.

Untuk menambahkan widget, pilih **Tambah widget** di bagian atas dasbor. Anda kemudian dapat menelusuri daftar widget yang tersedia atau memasukkan judul widget di bilah pencarian. Saat Anda menemukan widget untuk ditambahkan, seret ke lokasi yang Anda inginkan untuk muncul di dasbor. Untuk informasi selengkapnya, lihat [Menyesuaikan dasbor](customize-dashboard.md).

### Widget ditampilkan secara default
<a name="widgets-shown-default"></a>

Secara default, dasbor **Ringkasan** menyertakan widget berikut.

**Urutan ancaman teratas**  
Menampilkan urutan ancaman tingkat keparahan tertinggi. Temuan urutan ancaman, yang dikenal sebagai *temuan urutan serangan* di Amazon GuardDuty, mengkorelasikan beberapa peristiwa untuk mengidentifikasi potensi ancaman terhadap AWS lingkungan Anda. Urutan ancaman dapat mencakup perilaku serangan yang sedang berlangsung atau baru-baru ini (dalam jangka waktu 24 jam) di lingkungan Anda, yang pada gilirannya dapat menyebabkan kompromi lebih lanjut. Anda harus memiliki GuardDuty dan Perlindungan GuardDuty S3 diaktifkan untuk menerima temuan urutan ancaman di Security Hub CSPM.

**Risiko teratas**  
Menampilkan ringkasan risiko teratas di lingkungan Anda. Bagian atas widget menunjukkan jumlah risiko pada setiap tingkat keparahan. Anda dapat memilih tingkat keparahan untuk membuka halaman **Risiko dengan risiko** yang disaring ke tingkat keparahan yang dipilih. Risiko yang paling banyak terjadi di lingkungan Anda muncul terlebih dahulu. Widget ini membantu Anda memprioritaskan risiko mana yang harus dikurangi.

**Cakupan keamanan**  
Merangkum sejauh mana cakupan keamanan Anda, berdasarkan temuan kontrol cakupan. Kontrol cakupan memeriksa apakah spesifik Layanan AWS dan kemampuannya diaktifkan (misalnya,[[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1)). Widget ini membantu Anda memastikan bahwa Anda memiliki `PASSED` temuan untuk kontrol cakupan. Konsol CSPM Security Hub menyediakan tautan dari widget ini untuk membantu Anda mengaktifkan kemampuan keamanan yang hilang. Kami merekomendasikan penggunaan konfigurasi pusat untuk mengaktifkan kemampuan keamanan yang hilang di beberapa Akun AWS dan Wilayah AWS. Untuk informasi selengkapnya, lihat [Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

**Standar keamanan**  
Menampilkan skor keamanan ringkasan terbaru Anda dan skor keamanan untuk setiap standar CSPM Security Hub. Skor keamanan, yang berkisar antara 0-100 persen, mewakili proporsi kontrol yang diteruskan relatif terhadap semua kontrol yang Anda aktifkan. Untuk informasi lebih lanjut tentang skor ini, lihat[Metode penghitungan skor keamanan](standards-security-score.md#standard-security-score-calculation). Widget ini membantu Anda memahami postur keamanan Anda secara keseluruhan.

**Aset dengan temuan terbanyak**  
Memberikan gambaran umum tentang sumber daya, akun, dan aplikasi yang memiliki temuan paling banyak. Daftar ini diurutkan dalam urutan menurun berdasarkan jumlah temuan. Di widget, setiap tab menampilkan enam item teratas dalam kategori itu, dikelompokkan berdasarkan tingkat keparahan dan jenis sumber daya. Jika Anda memilih nomor di kolom **Total temuan**, Security Hub CSPM membuka halaman yang menunjukkan temuan untuk aset tersebut. Widget ini membantu Anda dengan cepat mengidentifikasi aset inti mana yang memiliki potensi ancaman keamanan.

**Temuan berdasarkan Wilayah**  
Menunjukkan jumlah total temuan, dikelompokkan berdasarkan tingkat keparahan, Wilayah AWS di masing-masing tempat CSPM Security Hub diaktifkan. Widget ini membantu Anda mengidentifikasi masalah keamanan yang berpotensi memengaruhi Wilayah tertentu. Jika Anda membuka dasbor di Wilayah agregasi Anda, widget ini membantu Anda memantau potensi masalah keamanan di setiap Wilayah yang ditautkan. 

**Jenis ancaman yang paling umum**  
Memberikan rincian dari 10 jenis ancaman paling umum di AWS lingkungan Anda. Ini termasuk ancaman seperti eskalasi hak istimewa, penggunaan kredensyal yang terbuka, atau komunikasi dengan alamat IP berbahaya.  
Untuk melihat data ini, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) harus diaktifkan. Jika ya, pilih jenis ancaman di widget ini untuk membuka GuardDuty konsol dan meninjau temuan yang terkait dengan ancaman ini. Widget ini membantu Anda mengevaluasi potensi ancaman dalam konteks masalah keamanan lainnya.

**Kerentanan perangkat lunak dengan eksploitasi**  
Menyediakan ringkasan kerentanan perangkat lunak yang ada di AWS lingkungan Anda dan telah diketahui eksploitasi. Anda juga dapat meninjau rincian kerentanan yang melakukan dan tidak memiliki perbaikan yang tersedia.  
Untuk melihat data ini, [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) harus diaktifkan. Jika ya, pilih statistik di widget ini untuk membuka konsol Amazon Inspector dan tinjau detail lebih lanjut tentang kerentanan. Widget ini membantu Anda mengevaluasi kerentanan perangkat lunak dalam konteks masalah keamanan lainnya.

**Temuan baru dari waktu ke waktu**  
Menunjukkan tren dalam jumlah temuan harian baru selama 90 hari terakhir. Anda dapat memecah data berdasarkan tingkat keparahan atau oleh penyedia untuk konteks tambahan. Widget ini membantu Anda memahami jika menemukan volume melonjak atau turun pada waktu tertentu selama 90 hari terakhir.

**Sumber daya dengan temuan terbanyak**  
Memberikan ringkasan sumber daya yang paling banyak menghasilkan temuan, dipecah berdasarkan jenis sumber daya berikut: Bucket Amazon Simple Storage Service (Amazon S3), instans Amazon Elastic Compute Cloud (Amazon EC2), dan fungsi. AWS Lambda   
Di widget, setiap tab berfokus pada salah satu jenis sumber daya sebelumnya, mencantumkan 10 contoh sumber daya yang menghasilkan temuan terbanyak. Untuk meninjau temuan untuk sumber daya tertentu, pilih contoh sumber daya. Widget ini membantu Anda melakukan triase temuan keamanan yang terkait dengan AWS sumber daya umum.

### Widget tersembunyi secara default
<a name="widgets-hidden-default"></a>

Widget berikut juga tersedia untuk dasbor **Ringkasan**, tetapi mereka disembunyikan secara default.

**AMIs dengan temuan terbanyak**  
Menyediakan daftar 10 Amazon Machine Images (AMI) yang telah menghasilkan temuan terbanyak. Data ini hanya tersedia jika Amazon EC2 diaktifkan untuk akun Anda. Ini membantu Anda mengidentifikasi mana yang AMIs menimbulkan risiko keamanan potensial.

**Prinsipal IAM dengan temuan terbanyak**  
Menyediakan daftar 10 AWS Identity and Access Management (IAM) pengguna yang telah menghasilkan temuan terbanyak. Widget ini membantu Anda melakukan tugas administratif dan penagihan. Ini menunjukkan kepada Anda pengguna mana yang paling berkontribusi pada penggunaan CSPM Security Hub.

**Akun dengan temuan terbanyak (berdasarkan tingkat keparahan)**  
Menunjukkan grafik dari 10 akun yang telah menghasilkan temuan terbanyak, dikelompokkan berdasarkan tingkat keparahan. Widget ini membantu Anda menentukan akun mana yang akan memfokuskan upaya analisis dan remediasi.

**Akun dengan temuan terbanyak (berdasarkan jenis sumber daya)**  
Menampilkan grafik dari 10 akun yang telah menghasilkan temuan terbanyak, dikelompokkan berdasarkan jenis sumber daya. Widget ini membantu Anda menentukan jenis akun dan sumber daya mana yang akan diprioritaskan untuk analisis dan remediasi.

**Wawasan**  
Daftar lima [wawasan terkelola CSPM Security Hub](securityhub-managed-insights.md) dan jumlah temuan yang mereka hasilkan. Wawasan mengidentifikasi area keamanan tertentu yang membutuhkan perhatian.

**Temuan terbaru dari AWS integrasi**  
[Menunjukkan jumlah temuan yang Anda terima di Security Hub CSPM dari terintegrasi. Layanan AWS](securityhub-internal-providers.md) Ini juga menunjukkan kapan Anda baru-baru ini menerima temuan dari setiap layanan terintegrasi. Widget ini menyediakan data temuan terkonsolidasi dari beberapa Layanan AWS. Untuk menelusuri, pilih layanan terintegrasi. Security Hub CSPM kemudian membuka konsol untuk layanan itu.

# Memfilter dasbor Ringkasan di Security Hub CSPM
<a name="filters-dashboard"></a>

Anda dapat mengkurasi dasbor **Ringkasan** di konsol CSPM Security Hub sehingga hanya menyertakan data keamanan yang paling relevan bagi Anda. Misalnya, jika Anda anggota tim aplikasi, Anda dapat membuat tampilan khusus untuk aplikasi penting di lingkungan produksi Anda. Jika Anda anggota tim keamanan, Anda dapat membuat tampilan khusus yang membantu Anda fokus pada temuan tingkat keparahan tinggi.

Untuk membuat tampilan yang dikuratori ini, masukkan kriteria filter di kotak filter di atas dasbor. Jika Anda menerapkan kriteria filter, kriteria berlaku untuk semua data dan widget di dasbor, kecuali data dalam widget **standar **Wawasan** dan Keamanan**. Untuk daftar widget yang tersedia di dasbor, lihat[Widget yang tersedia untuk dasbor Ringkasan](dashboard.md#available-widgets).

Anda dapat memfilter data dengan menggunakan bidang berikut:
+ Nama akun
+ account-id
+ Aplikasi ARN
+ Nama aplikasi
+ Nama produk (untuk produk Layanan AWS atau pihak ketiga yang mengirimkan temuan ke Security Hub CSPM)
+ Rekam keadaan
+ Region
+ Tanda sumber daya
+ Kepelikan
+ Status alur kerja

Secara default, data dasbor disaring menggunakan kriteria berikut: `Workflow.Status` is `NOTIFIED` or`NEW`, and `RecordState` is`ACTIVE`. Kriteria ini muncul di atas dasbor, di bawah kotak filter. Untuk menghapus kriteria ini, pilih **X** di token filter untuk kriteria yang ingin Anda hapus.

Jika Anda menerapkan kriteria filter yang ingin Anda gunakan lagi, Anda dapat menyimpannya sebagai *set filter*. Kumpulan filter adalah sekumpulan kriteria filter yang Anda buat dan simpan untuk diterapkan kembali saat Anda meninjau data di dasbor **Ringkasan**. Anda dapat membuat dan menyimpan kumpulan filter yang menggunakan salah satu bidang yang tersedia kecuali bidang berikut: ARN aplikasi, nama aplikasi, dan tag sumber daya.

## Membuat dan menyimpan set filter
<a name="save-filter-set"></a>

Ikuti langkah-langkah ini untuk membuat dan menyimpan set filter.

**Untuk membuat dan menyimpan set filter**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Ringkasan**.

1. Pada kotak filter di atas dasbor **Ringkasan**, masukkan kriteria filter untuk set filter.

1. Pada menu **Hapus filter**, pilih **Simpan set filter baru**.

1. Dalam kotak dialog **Simpan set filter**, masukkan nama untuk set filter.

1. (Opsional) Untuk menggunakan filter yang ditetapkan secara default setiap kali Anda membuka halaman **Ringkasan**, pilih opsi untuk mengaturnya sebagai tampilan default.

1. Pilih **Simpan**.

Untuk beralih di antara set filter yang telah Anda buat dan simpan, gunakan menu **Pilih set filter** di atas dasbor **Ringkasan**. Saat Anda memilih set filter, Security Hub CSPM menerapkan kriteria filter yang disetel ke data di dasbor.

## Memperbarui atau menghapus set filter
<a name="update-delete-filter-set"></a>

Ikuti langkah-langkah ini untuk memperbarui atau menghapus set filter yang ada. Jika Anda menghapus kumpulan filter yang saat ini ditetapkan sebagai tampilan default dasbor **Ringkasan**, tampilan default Anda disetel ulang ke tampilan CSPM Security Hub default.

**Untuk memperbarui atau menghapus set filter**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Ringkasan**.

1. Dalam menu **Pilih set filter** di atas halaman **Ringkasan**, pilih set filter.

1. Pada menu **Hapus filter**, lakukan salah satu hal berikut:
   + Untuk memperbarui set filter, pilih **Perbarui set filter saat ini**. Kemudian, masukkan perubahan Anda di kotak dialog yang muncul.
   + Untuk menghapus set filter pilih **Hapus set filter saat ini**. Kemudian, pilih **Hapus** di kotak dialog yang muncul.

# Menyesuaikan dasbor Ringkasan di Security Hub CSPM
<a name="customize-dashboard"></a>

Anda dapat menyesuaikan dasbor **Ringkasan** di konsol CSPM Security Hub dengan beberapa cara. Misalnya, Anda dapat menambah dan menghapus widget dari dasbor. Anda juga dapat mengatur ulang dan mengubah ukuran widget di dasbor. Untuk daftar widget yang tersedia dan deskripsi masing-masing, lihat[Widget yang tersedia untuk dasbor Ringkasan](dashboard.md#available-widgets).

Jika Anda menyesuaikan dasbor, Security Hub CSPM segera menerapkan perubahan Anda dan menyimpan pengaturan dasbor baru Anda. Perubahan Anda berlaku untuk tampilan dasbor Anda di semua Wilayah AWS dan browser.

**Untuk menyesuaikan dasbor **Ringkasan****

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pilih **Ringkasan**.

1. Lakukan salah satu langkah berikut ini:
   + Untuk menambahkan widget, pilih **Tambahkan widget** di sudut kanan atas halaman. Di bilah pencarian, masukkan judul widget yang akan ditambahkan. Kemudian, seret widget ke lokasi yang Anda inginkan.
   + Untuk menghapus widget, pilih tiga titik di sudut kanan atas widget.
   + Untuk memindahkan widget, pilih pegangan di sudut kiri atas widget, lalu seret widget ke lokasi yang Anda inginkan.
   + Untuk mengubah ukuran widget, pilih pegangan pengubahan ukuran di sudut kanan bawah widget. Seret tepi widget hingga widget adalah ukuran pilihan Anda.

Untuk selanjutnya mengembalikan pengaturan asli, pilih **Atur ulang ke tata letak default** di bagian atas halaman.

# Batas regional untuk Security Hub CSPM
<a name="securityhub-regions"></a>

Beberapa fitur CSPM AWS Security Hub hanya tersedia dalam kondisi tertentu. Wilayah AWS Bagian berikut menentukan batas Regional ini. Untuk daftar lengkap semua Wilayah tempat CSPM Security Hub saat ini tersedia, lihat [titik akhir dan kuota AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) di. *Referensi Umum AWS*

## Pembatasan agregasi Lintas Wilayah
<a name="securityhub-regions-finding-aggregation-support"></a>

Di AWS GovCloud (US) Regions, [agregasi lintas wilayah](finding-aggregation.md) tersedia untuk temuan, menemukan pembaruan, dan wawasan hanya. AWS GovCloud (US) Regions Secara khusus, Anda dapat mengumpulkan temuan, menemukan pembaruan, dan wawasan hanya antara Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).

Di Wilayah Tiongkok, agregasi lintas wilayah tersedia untuk temuan, menemukan pembaruan, dan wawasan di seluruh Wilayah Tiongkok saja. Secara khusus, Anda dapat mengumpulkan temuan, menemukan pembaruan, dan wawasan hanya antara Wilayah Tiongkok (Beijing) dan Tiongkok (Ningxia).

Anda tidak dapat menggunakan Wilayah yang dinonaktifkan secara default sebagai Wilayah agregasi Anda. Untuk daftar Wilayah yang dinonaktifkan secara default, lihat [Mengaktifkan atau menonaktifkan Wilayah AWS di akun Anda](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) di *Panduan AWS Account Management Referensi*.

## Ketersediaan integrasi menurut Wilayah
<a name="securityhub-regions-integration-support"></a>

Beberapa integrasi tidak tersedia di semua Wilayah AWS. Di konsol CSPM Security Hub, integrasi tidak akan muncul di halaman **Integrasi** jika tidak tersedia di Wilayah tempat Anda masuk saat ini.

### Integrasi yang didukung di Wilayah Tiongkok (Beijing) dan Tiongkok (Ningxia)
<a name="securityhub-regions-integration-support-china"></a>

[Di Wilayah Tiongkok (Beijing) dan Tiongkok (Ningxia), Security Hub CSPM hanya mendukung integrasi berikut dengan: Layanan AWS](securityhub-internal-providers.md)
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Manajer Patch

[Di Wilayah Tiongkok (Beijing) dan Tiongkok (Ningxia), Security Hub CSPM hanya mendukung integrasi pihak ketiga berikut:](securityhub-partner-providers.md)
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler

### Integrasi yang didukung di Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat)
<a name="securityhub-regions-integration-support-govcloud"></a>

[Di Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat), Security Hub CSPM hanya mendukung integrasi berikut dengan: Layanan AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ IAM Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender

[Di Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat), Security Hub CSPM hanya mendukung integrasi pihak ketiga berikut:](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(hanya tersedia di AWS GovCloud (AS-Barat))
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect

## Ketersediaan standar menurut Wilayah
<a name="securityhub-regions-standards-support"></a>

[Standar yang AWS Control Tower dikelola layanan](service-managed-standard-aws-control-tower.md) hanya tersedia dalam dukungan Wilayah AWS itu AWS Control Tower . Untuk daftar Wilayah yang AWS Control Tower saat ini mendukung, lihat [Cara Wilayah AWS Bekerja Dengan AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) di *Panduan AWS Control Tower Pengguna*.

[Standar Penandaan AWS Sumber Daya](standards-tagging.md) tidak tersedia di Wilayah Asia Pasifik (Taipei).

Standar keamanan lainnya tersedia di semua Wilayah di mana Security Hub CSPM saat ini tersedia.

## Ketersediaan kontrol berdasarkan Wilayah
<a name="securityhub-regions-control-support"></a>

Beberapa kontrol CSPM Security Hub tidak tersedia di semua. Wilayah AWSUntuk daftar kontrol yang tidak tersedia di setiap Wilayah, lihat[Batas regional pada kontrol CSPM Security Hub](regions-controls.md).

Di konsol CSPM Security Hub, kontrol tidak akan muncul di daftar kontrol jika tidak tersedia di Wilayah tempat Anda masuk saat ini. Pengecualian adalah Wilayah agregasi. Jika Anda menyetel Wilayah agregasi dan masuk ke Wilayah tersebut, konsol akan menampilkan kontrol yang tersedia di Wilayah agregasi atau satu atau beberapa Wilayah tertaut.

# Batas regional pada kontrol CSPM Security Hub
<a name="regions-controls"></a>

Beberapa kontrol CSPM AWS Security Hub tidak tersedia di semua. Wilayah AWS Halaman ini menentukan kontrol mana yang tidak tersedia di Wilayah tertentu.

Di konsol CSPM Security Hub, kontrol tidak akan muncul di daftar kontrol jika tidak tersedia di Wilayah tempat Anda masuk saat ini. Pengecualian adalah Wilayah agregasi. Jika Anda menyetel Wilayah agregasi dan masuk ke Wilayah tersebut, konsol akan menampilkan kontrol yang tersedia di Wilayah agregasi atau satu atau beberapa Wilayah tertaut.

**Topics**
+ [AS Timur (Virginia Utara)](#securityhub-control-support-useast1)
+ [AS Timur (Ohio)](#securityhub-control-support-useast2)
+ [AS Barat (California Utara)](#securityhub-control-support-uswest1)
+ [AS Barat (Oregon)](#securityhub-control-support-uswest2)
+ [Africa (Cape Town)](#securityhub-control-support-afsouth1)
+ [Asia Pasifik (Hong Kong)](#securityhub-control-support-apeast1)
+ [Asia Pasifik (Hyderabad)](#securityhub-control-support-apsouth2)
+ [Asia Pasifik (Jakarta)](#securityhub-control-support-apsoutheast3)
+ [Asia Pasifik (Malaysia)](#securityhub-control-support-apsoutheast5)
+ [Asia Pacific (Melbourne)](#securityhub-control-support-apsoutheast4)
+ [Asia Pasifik (Mumbai)](#securityhub-control-support-apsouth1)
+ [Asia Pasifik (Selandia Baru)](#securityhub-control-support-apsoutheast6)
+ [Asia Pasifik (Osaka)](#securityhub-control-support-apnortheast3)
+ [Asia Pasifik (Seoul)](#securityhub-control-support-apnortheast2)
+ [Asia Pasifik (Singapura)](#securityhub-control-support-apsoutheast1)
+ [Asia Pasifik (Sydney)](#securityhub-control-support-apsoutheast2)
+ [Asia Pasifik (Taipei)](#securityhub-control-support-apeast2)
+ [Asia Pasifik (Thailand)](#securityhub-control-support-apsoutheast7)
+ [Asia Pasifik (Tokyo)](#securityhub-control-support-apnortheast1)
+ [Kanada (Pusat)](#securityhub-control-support-cacentral1)
+ [Kanada Barat (Calgary)](#securityhub-control-support-cawest1)
+ [Tiongkok (Beijing)](#securityhub-control-support-cnnorth1)
+ [Tiongkok (Ningxia)](#securityhub-control-support-cnnorthwest1)
+ [Eropa (Frankfurt)](#securityhub-control-support-eucentral1)
+ [Eropa (Irlandia)](#securityhub-control-support-euwest1)
+ [Eropa (London)](#securityhub-control-support-euwest2)
+ [Europe (Milan)](#securityhub-control-support-eusouth1)
+ [Eropa (Paris)](#securityhub-control-support-euwest3)
+ [Eropa (Spanyol)](#securityhub-control-support-eusouth2)
+ [Eropa (Stockholm)](#securityhub-control-support-eunorth1)
+ [Europe (Zurich)](#securityhub-control-support-eucentral2)
+ [Israel (Tel Aviv)](#securityhub-control-support-ilcentral1)
+ [Meksiko (Tengah)](#securityhub-control-support-mxcentral1)
+ [Timur Tengah (Bahrain)](#securityhub-control-support-mesouth1)
+ [Timur Tengah (UAE)](#securityhub-control-support-mecentral1)
+ [Amerika Selatan (Sao Paulo)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (AS-Timur)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (AS-Barat)](#securityhub-control-support-usgovwest1)

## AS Timur (Virginia Utara)
<a name="securityhub-control-support-useast1"></a>

Kontrol berikut tidak didukung di Wilayah AS Timur (Virginia N.).
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 

## AS Timur (Ohio)
<a name="securityhub-control-support-useast2"></a>

Kontrol berikut tidak didukung di Wilayah Timur AS (Ohio).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## AS Barat (California Utara)
<a name="securityhub-control-support-uswest1"></a>

Kontrol berikut tidak didukung di Wilayah AS Barat (California Utara).
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## AS Barat (Oregon)
<a name="securityhub-control-support-uswest2"></a>

Kontrol berikut tidak didukung di Wilayah Barat AS (Oregon).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Africa (Cape Town)
<a name="securityhub-control-support-afsouth1"></a>

Kontrol berikut tidak didukung di Wilayah Afrika (Cape Town).
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Asia Pasifik (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Hong Kong).
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Hyderabad).
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Jakarta)
<a name="securityhub-control-support-apsoutheast3"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Jakarta).
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Malaysia)
<a name="securityhub-control-support-apsoutheast5"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Malaysia).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pacific (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Melbourne).
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Mumbai).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Asia Pasifik (Selandia Baru)
<a name="securityhub-control-support-apsoutheast6"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Selandia Baru).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.2] Katalog data Athena harus diberi tag](athena-controls.md#athena-2) 
+  [[Athena.3] Kelompok kerja Athena harus ditandai](athena-controls.md#athena-3) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 
+  [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 
+  [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family alur kerja harus ditandai](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Osaka).
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Seoul)
<a name="securityhub-control-support-apnortheast2"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Seoul).
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Asia Pasifik (Singapura)
<a name="securityhub-control-support-apsoutheast1"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Singapura).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Asia Pasifik (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Sydney).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Asia Pasifik (Taipei)
<a name="securityhub-control-support-apeast2"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Taipei).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[ACM.3] Sertifikat ACM harus ditandai](acm-controls.md#acm-3) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.2] Katalog data Athena harus diberi tag](athena-controls.md#athena-2) 
+  [[Athena.3] Kelompok kerja Athena harus ditandai](athena-controls.md#athena-3) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2) 
+  [[Backup.3] AWS Backup brankas harus ditandai](backup-controls.md#backup-3) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Backup.5] rencana AWS Backup cadangan harus ditandai](backup-controls.md#backup-5) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.2] CloudFormation tumpukan harus ditandai](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] CloudTrail jejak harus ditandai](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] Tabel DynamoDB harus diberi tag](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.33] Lampiran gateway transit EC2 harus ditandai](ec2-controls.md#ec2-33) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.35] Antarmuka jaringan EC2 harus ditandai](ec2-controls.md#ec2-35) 
+  [[EC2.36] Gateway pelanggan EC2 harus ditandai](ec2-controls.md#ec2-36) 
+  [[EC2.37] Alamat IP Elastis EC2 harus ditandai](ec2-controls.md#ec2-37) 
+  [[EC2.38] Instans EC2 harus ditandai](ec2-controls.md#ec2-38) 
+  [[EC2.39] Gerbang internet EC2 harus ditandai](ec2-controls.md#ec2-39) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.41] Jaringan EC2 harus ditandai ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] Tabel rute EC2 harus ditandai](ec2-controls.md#ec2-42) 
+  [[EC2.43] Grup keamanan EC2 harus ditandai](ec2-controls.md#ec2-43) 
+  [[EC2.44] Subnet EC2 harus ditandai](ec2-controls.md#ec2-44) 
+  [[EC2.45] Volume EC2 harus ditandai](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs harus ditandai](ec2-controls.md#ec2-46) 
+  [[EC2.47] Layanan titik akhir Amazon VPC harus ditandai](ec2-controls.md#ec2-47) 
+  [[EC2.48] Log aliran VPC Amazon harus ditandai](ec2-controls.md#ec2-48) 
+  [[EC2.49] Koneksi peering VPC Amazon harus ditandai](ec2-controls.md#ec2-49) 
+  [[EC2.50] Gateway EC2 VPN harus ditandai](ec2-controls.md#ec2-50) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.52] Gerbang transit EC2 harus ditandai](ec2-controls.md#ec2-52) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) 
+  [[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.13] Layanan ECS harus ditandai](ecs-controls.md#ecs-13) 
+  [[ECS.14] Cluster ECS harus ditandai](ecs-controls.md#ecs-14) 
+  [[ECS.15] Definisi tugas ECS harus ditandai](ecs-controls.md#ecs-15) 
+  [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 
+  [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.5] Titik akses EFS harus ditandai](efs-controls.md#efs-5) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.6] Kluster EKS harus ditandai](eks-controls.md#eks-6) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3) 
+  [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 
+  [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5) 
+  [[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data](es-controls.md#es-6) 
+  [[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus](es-controls.md#es-7) 
+  [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8) 
+  [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9) 
+  [[EventBridge.2] bus EventBridge acara harus diberi tag](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.23] Penganalisis Akses IAM harus ditandai](iam-controls.md#iam-23) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Aliran kinesis harus ditandai](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja](kms-controls.md#kms-3) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Fungsi Lambda harus ditandai](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 
+  [[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot](rds-controls.md#rds-17) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19) 
+  [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20) 
+  [[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21) 
+  [[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22) 
+  [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.28] Cluster RDS DB harus ditandai](rds-controls.md#rds-28) 
+  [[RDS.29] Snapshot cluster RDS DB harus ditandai](rds-controls.md#rds-29) 
+  [[RDS.30] Instans RDS DB harus ditandai](rds-controls.md#rds-30) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.32] Snapshot RDS DB harus ditandai](rds-controls.md#rds-32) 
+  [[RDS.33] Grup subnet RDS DB harus ditandai](rds-controls.md#rds-33) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13) 
+  [[Redshift.14] Grup subnet cluster Redshift harus ditandai](redshift-controls.md#redshift-14) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] Rahasia Secrets Manager harus ditandai](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Topik SNS harus ditandai](sns-controls.md#sns-3) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.1] AWS Transfer Family alur kerja harus ditandai](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Thailand)
<a name="securityhub-control-support-apsoutheast7"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Thailand).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.2] Katalog data Athena harus diberi tag](athena-controls.md#athena-2) 
+  [[Athena.3] Kelompok kerja Athena harus ditandai](athena-controls.md#athena-3) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 
+  [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.1] AWS Transfer Family alur kerja harus ditandai](transfer-controls.md#transfer-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Asia Pasifik (Tokyo)
<a name="securityhub-control-support-apnortheast1"></a>

Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Tokyo).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Kanada (Pusat)
<a name="securityhub-control-support-cacentral1"></a>

Kontrol berikut tidak didukung di Wilayah Kanada (Tengah).
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Kanada Barat (Calgary)
<a name="securityhub-control-support-cawest1"></a>

Kontrol berikut tidak didukung di Wilayah Kanada Barat (Calgary).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Tiongkok (Beijing)
<a name="securityhub-control-support-cnnorth1"></a>

Kontrol berikut tidak didukung di Wilayah Tiongkok (Beijing).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.36] Gateway pelanggan EC2 harus ditandai](ec2-controls.md#ec2-36) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.23] Penganalisis Akses IAM harus ditandai](iam-controls.md#iam-23) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) 
+  [[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 
+  [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.28] Cluster RDS DB harus ditandai](rds-controls.md#rds-28) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Tiongkok (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

Kontrol berikut tidak didukung di Wilayah Tiongkok (Ningxia).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.36] Gateway pelanggan EC2 harus ditandai](ec2-controls.md#ec2-36) 
+  [[EC2.50] Gateway EC2 VPN harus ditandai](ec2-controls.md#ec2-50) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.23] Penganalisis Akses IAM harus ditandai](iam-controls.md#iam-23) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Fungsi Lambda harus ditandai](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Eropa (Frankfurt)
<a name="securityhub-control-support-eucentral1"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Frankfurt).
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Eropa (Irlandia)
<a name="securityhub-control-support-euwest1"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Irlandia).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Eropa (London)
<a name="securityhub-control-support-euwest2"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (London).
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## Europe (Milan)
<a name="securityhub-control-support-eusouth1"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Milan).
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Eropa (Paris)
<a name="securityhub-control-support-euwest3"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Paris).
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Eropa (Spanyol)
<a name="securityhub-control-support-eusouth2"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Spanyol).
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Eropa (Stockholm)
<a name="securityhub-control-support-eunorth1"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Stockholm).
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Europe (Zurich)
<a name="securityhub-control-support-eucentral2"></a>

Kontrol berikut tidak didukung di Wilayah Eropa (Zurich).
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Israel (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

Kontrol berikut tidak didukung di Wilayah Israel (Tel Aviv).
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat](rds-controls.md#rds-4) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.29] Snapshot cluster RDS DB harus ditandai](rds-controls.md#rds-29) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Meksiko (Tengah)
<a name="securityhub-control-support-mxcentral1"></a>

Kontrol berikut tidak didukung di Wilayah Meksiko (Tengah).
+  [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34) 
+  [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53) 
+  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 
+  [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 
+  [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 
+  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 
+  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 
+  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 
+  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 
+  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 
+  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 
+  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 
+  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4) 
+  [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5) 
+  [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.18] Instans RDS harus digunakan di VPC](rds-controls.md#rds-18) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit](rds-controls.md#rds-38) 
+  [[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit](rds-controls.md#rds-39) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13) 
+  [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 
+  [[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone](redshift-controls.md#redshift-16) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22) 
+  [[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Timur Tengah (Bahrain)
<a name="securityhub-control-support-mesouth1"></a>

Kontrol berikut tidak didukung di Wilayah Timur Tengah (Bahrain).
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Timur Tengah (UAE)
<a name="securityhub-control-support-mecentral1"></a>

Kontrol berikut tidak didukung di Wilayah Timur Tengah (UEA).
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3) 
+  [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4) 
+  [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 
+  [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## Amerika Selatan (Sao Paulo)
<a name="securityhub-control-support-saeast1"></a>

Kontrol berikut tidak didukung di Wilayah Amerika Selatan (São Paulo).
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1) 
+  [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2) 
+  [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

## AWS GovCloud (AS-Timur)
<a name="securityhub-control-support-usgoveast1"></a>

Kontrol berikut tidak didukung di Wilayah AWS GovCloud (AS-Timur).
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.47] Layanan titik akhir Amazon VPC harus ditandai](ec2-controls.md#ec2-47) 
+  [[EC2.52] Gerbang transit EC2 harus ditandai](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1) 
+  [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (AS-Barat)
<a name="securityhub-control-support-usgovwest1"></a>

Kontrol berikut tidak didukung di Wilayah AWS GovCloud (AS-Barat).
+  [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 
+  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 
+  [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1) 
+  [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4) 
+  [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1) 
+  [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2) 
+  [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3) 
+  [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 
+  [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 
+  [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 
+  [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2) 
+  [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus](ec2-controls.md#ec2-22) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.38] Instans EC2 harus ditandai](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 
+  [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174) 
+  [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175) 
+  [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176) 
+  [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177) 
+  [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178) 
+  [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179) 
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 
+  [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24) 
+  [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25) 
+  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28) 
+  [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1) 
+  [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2) 
+  [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 
+  [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 
+  [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 
+  [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13) 
+  [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1) 
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 
+  [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 
+  [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 
+  [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4) 
+  [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5) 
+  [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6) 
+  [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 

# Membuat sumber daya CSPM Security Hub dengan CloudFormation
<a name="creating-resources-with-cloudformation"></a>

AWS Security Hub CSPM terintegrasi dengan AWS CloudFormation, yang merupakan layanan yang membantu Anda memodelkan dan mengatur AWS sumber daya Anda sehingga Anda dapat menghabiskan lebih sedikit waktu untuk membuat dan mengelola sumber daya dan infrastruktur Anda. Anda membuat templat yang menjelaskan semua AWS sumber daya yang Anda inginkan (seperti aturan otomatisasi), dan CloudFormation ketentuan serta mengonfigurasi sumber daya tersebut untuk Anda.

Bila Anda menggunakan CloudFormation, Anda dapat menggunakan kembali template Anda untuk mengatur sumber daya CSPM Security Hub Anda secara konsisten dan berulang kali. Jelaskan sumber daya Anda sekali, lalu sediakan sumber daya yang sama berulang-ulang di beberapa Akun AWS dan Wilayah. 

## CSPM dan template Security Hub CloudFormation
<a name="working-with-templates"></a>

Untuk menyediakan dan mengonfigurasi sumber daya untuk CSPM Security Hub dan layanan terkait, Anda harus memahami cara kerja [CloudFormation templat](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Template adalah file teks dalam format JSON atau YAMM. Template ini menjelaskan sumber daya yang ingin Anda sediakan di CloudFormation tumpukan Anda.

Jika Anda tidak terbiasa dengan JSON atau YAMM, Anda dapat menggunakan CloudFormation Designer untuk membantu Anda memulai dengan template. CloudFormation Untuk informasi lebih lanjut, lihat [Apa itu CloudFormation Desainer?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) dalam *AWS CloudFormation User Guide*.

Anda dapat membuat CloudFormation template untuk jenis sumber daya CSPM Security Hub berikut:
+ Mengaktifkan Security Hub CSPM
+ Menunjuk administrator CSPM Security Hub yang didelegasikan untuk sebuah organisasi
+ Tentukan cara organisasi Anda dikonfigurasi di Security Hub CSPM
+ Mengaktifkan standar keamanan
+ Mengaktifkan agregasi lintas wilayah
+ Membuat kebijakan konfigurasi pusat dan mengaitkannya dengan akun, unit organisasi (OUs), atau root
+ Membuat wawasan khusus
+ Membuat aturan otomatisasi
+ Menyesuaikan parameter kontrol
+ Berlangganan integrasi produk pihak ketiga

*Untuk informasi selengkapnya, termasuk contoh template JSON dan YAMAL untuk sumber daya, lihat [referensi jenis sumber daya CSPM AWS Security Hub](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html) di Panduan Pengguna.AWS CloudFormation *

## Pelajari lebih lanjut tentang CloudFormation
<a name="learn-more-cloudformation"></a>

Untuk mempelajari selengkapnya CloudFormation, lihat sumber daya berikut:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Panduan Pengguna](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation Referensi API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Panduan Pengguna Antarmuka Baris Perintah](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# Berlangganan pengumuman CSPM Security Hub dengan Amazon SNS
<a name="securityhub-announcements"></a>

Bagian ini memberikan informasi tentang berlangganan pengumuman CSPM AWS Security Hub dengan Amazon Simple Notification Service (Amazon SNS) untuk menerima pemberitahuan tentang Security Hub CSPM. 

Setelah berlangganan, Anda akan menerima pemberitahuan tentang acara berikut (perhatikan yang sesuai `AnnouncementType` untuk setiap acara):
+ `GENERAL`— Pemberitahuan umum tentang layanan CSPM Security Hub.
+ `UPCOMING_STANDARDS_CONTROLS`— Kontrol atau standar CSPM Security Hub yang ditentukan akan segera dirilis. Jenis pengumuman ini membantu Anda mempersiapkan alur kerja respons dan remediasi sebelum rilis.
+ `NEW_REGIONS`— Support for Security Hub CSPM tersedia dalam versi baru. Wilayah AWS
+ `NEW_STANDARDS_CONTROLS`— Kontrol atau standar CSPM Security Hub baru telah ditambahkan.
+ `UPDATED_STANDARDS_CONTROLS`— Kontrol atau standar CSPM Security Hub yang ada telah diperbarui.
+ `RETIRED_STANDARDS_CONTROLS`— Kontrol atau standar CSPM Security Hub yang ada telah dihentikan.
+ `UPDATED_ASFF`— Sintaks, bidang, atau nilai AWS Security Finding Format (ASFF) telah diperbarui.
+ `NEW_INTEGRATION`Integrasi baru dengan AWS layanan lain atau produk pihak ketiga tersedia.
+ `NEW_FEATURE`— Fitur CSPM Security Hub baru tersedia.
+ `UPDATED_FEATURE`— Fitur CSPM Security Hub yang ada telah diperbarui.

Notifikasi tersedia dalam semua format yang didukung Amazon SNS. Anda dapat berlangganan pengumuman CSPM Security Hub di semua tempat [CSPM Security Wilayah AWS Hub tersedia](https://docs.aws.amazon.com/general/latest/gr/sechub.html).

Pengguna harus memiliki `Subscribe` izin untuk berlangganan topik Amazon SNS. Anda dapat mencapai ini dengan kebijakan Amazon SNS, kebijakan IAM, atau keduanya. Untuk informasi selengkapnya, lihat [kebijakan IAM dan Amazon SNS bersama-sama di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) Pengembang *Layanan Pemberitahuan Sederhana Amazon*.

**catatan**  
Security Hub CSPM mengirimkan pengumuman Amazon SNS tentang pembaruan ke layanan CSPM Security Hub ke semua yang berlangganan. Akun AWS Untuk menerima pemberitahuan tentang temuan CSPM Security Hub, lihat. [Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md)

Anda dapat berlangganan antrian Amazon Simple Queue Service (Amazon SQS) untuk topik Amazon SNS, tetapi Anda harus menggunakan topik Amazon SNS Nama Sumber Daya Amazon (ARN) yang ada di Wilayah yang sama. Untuk informasi selengkapnya, lihat [Berlangganan antrian ke topik Amazon SNS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) di Panduan Pengembang Layanan *Antrian Sederhana Amazon*.

Anda juga dapat menggunakan AWS Lambda fungsi untuk memanggil acara saat Anda menerima pemberitahuan. Untuk informasi selengkapnya, termasuk kode fungsi contoh, lihat [Tutorial: Menggunakan AWS Lambda dengan Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) di *Panduan AWS Lambda Pengembang*.

Topik Amazon SNS ARNs untuk setiap Wilayah adalah sebagai berikut.


| Wilayah AWS | ARN topik Amazon SNS | 
| --- | --- | 
| AS Timur (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements | 
| AS Timur (Virginia Utara) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements | 
| AS Barat (California Utara) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements | 
| AS Barat (Oregon) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements | 
| Afrika (Cape Town) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements | 
| Asia Pasifik (Hong Kong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements | 
| Asia Pasifik (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements | 
| Asia Pasifik (Jakarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements | 
| Asia Pasifik (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements | 
| Asia Pasifik (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements | 
| Asia Pasifik (Seoul) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements | 
| Asia Pasifik (Singapura) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements | 
| Asia Pasifik (Sydney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements | 
| Asia Pasifik (Tokyo) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements | 
| Kanada (Pusat) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements | 
| Tiongkok (Beijing) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements | 
| Tiongkok (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements | 
| Eropa (Frankfurt) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements | 
| Eropa (Irlandia) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements | 
| Eropa (London) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements | 
| Eropa (Milan) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements | 
| Eropa (Paris) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements | 
| Eropa (Spanyol) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements | 
| Eropa (Stockholm) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements | 
| Eropa (Zürich) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements | 
| Israel (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements | 
| Timur Tengah (Bahrain) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements | 
| Timur Tengah (UEA) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements | 
| Amerika Selatan (Sao Paulo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements | 
| AWS GovCloud (AS-Timur) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements | 
| AWS GovCloud (AS-Barat) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements | 

Pesan biasanya sama di seluruh Wilayah dalam [partisi](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), sehingga Anda dapat berlangganan satu Wilayah di setiap partisi untuk menerima pengumuman yang memengaruhi semua Wilayah di partisi tersebut. Pengumuman yang terkait dengan akun anggota tidak direplikasi di akun administrator. Akibatnya, setiap akun, termasuk akun administrator, hanya akan memiliki satu salinan dari setiap pengumuman. Anda dapat memutuskan akun mana yang ingin Anda gunakan untuk berlangganan pengumuman CSPM Security Hub.

[Untuk informasi tentang biaya berlangganan pengumuman CSPM Security Hub, lihat harga Amazon SNS.](https://aws.amazon.com/sns/pricing/)

**Berlangganan pengumuman CSPM Security Hub (konsol)**

1. [Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)

1. Dalam daftar Wilayah, pilih Wilayah tempat Anda ingin berlangganan pengumuman CSPM Security Hub. Contoh ini menggunakan Wilayah `us-west-2`.

1. Di panel navigasi, pilih **Langganan**, lalu pilih **Buat** langganan.

1. Masukkan topik ARN ke dalam topik **ARN kotak**. Misalnya, `arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`.

1. Untuk **Protokol**, pilih cara Anda ingin menerima pengumuman CSPM Security Hub. Jika Anda memilih **Email**, untuk **Endpoint**, masukkan alamat email yang ingin Anda gunakan untuk menerima pengumuman.

1. Pilih **Buat langganan**.

1. Konfirmasi langganan. Misalnya, jika Anda memilih protokol email, Amazon SNS akan mengirim pesan konfirmasi berlangganan ke email yang Anda berikan.

**Berlangganan pengumuman CSPM Security Hub ()AWS CLI**

1. Jalankan perintah berikut:

   ```
    aws  sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
   ```

1. Konfirmasi langganan. Misalnya, jika Anda memilih protokol email, Amazon SNS akan mengirim pesan konfirmasi berlangganan ke email yang Anda berikan.

## Format pesan Amazon SNS
<a name="securityhub-announcements-example"></a>

Contoh berikut menunjukkan pengumuman CSPM Security Hub dari Amazon SNS tentang pengenalan kontrol keamanan baru. Konten pesan bervariasi berdasarkan jenis pengumuman, tetapi formatnya sama untuk semua jenis pengumuman. Secara opsional, `Link` bidang yang memberikan rincian tentang pengumuman dapat disertakan.

**Contoh: Pengumuman CSPM Security Hub untuk kontrol baru (protokol email)**

```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```

**Contoh: Pengumuman CSPM Security Hub untuk kontrol baru (protokol Email-JSON)**

```
{
  "Type" : "Notification",
  "MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
  "TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
  "Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9), 
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
  "Timestamp" : "2022-08-04T19:11:12.652Z",
  "SignatureVersion" : "1",
  "Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
  "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
  "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```

# Menonaktifkan CSPM Security Hub
<a name="securityhub-disable"></a>

Anda dapat menonaktifkan CSPM AWS Security Hub dengan menggunakan konsol CSPM Security Hub atau Security Hub API. Jika Anda menonaktifkan Security Hub CSPM, Anda dapat mengaktifkannya lagi nanti.

Jika organisasi Anda menggunakan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi yang menonaktifkan CSPM Security Hub untuk akun dan unit organisasi tertentu () dan OUs tetap mengaktifkan CSPM Security Hub untuk orang lain. Kebijakan konfigurasi memengaruhi Wilayah asal dan semua Wilayah yang ditautkan. Untuk informasi selengkapnya, lihat [Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Jika Anda menonaktifkan CSPM Security Hub untuk sebuah akun, hal berikut akan terjadi:
+ Semua standar dan kontrol CSPM Security Hub dinonaktifkan untuk akun.
+ Security Hub CSPM berhenti menghasilkan, memperbarui, dan menelan temuan untuk akun tersebut.
+ Setelah 30 hari, Security Hub CSPM secara permanen menghapus semua temuan arsip yang ada untuk akun tersebut. Temuan ini tidak dapat dipulihkan dengan menggunakan Security Hub CSPM.
+ Setelah 90 hari, Security Hub CSPM secara permanen menghapus semua temuan aktif yang ada untuk akun tersebut. Temuan ini tidak dapat dipulihkan dengan menggunakan Security Hub CSPM.
+ Setelah 90 hari, Security Hub CSPM secara permanen menghapus semua wawasan yang ada dan pengaturan konfigurasi CSPM Security Hub untuk akun tersebut. Data dan pengaturan tidak dapat dipulihkan.

Untuk mempertahankan temuan yang ada, Anda dapat mengekspor temuan ke bucket S3 sebelum menonaktifkan CSPM Security Hub. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).

Jika Anda mengaktifkan kembali CSPM Security Hub dalam waktu 90 hari setelah menonaktifkannya untuk akun, Anda mendapatkan kembali akses ke temuan aktif yang ada, serta wawasan dan pengaturan konfigurasi CSPM Security Hub untuk akun tersebut. Jika Anda mengaktifkan kembali CSPM Security Hub dalam waktu 30 hari, Anda juga mendapatkan kembali akses ke temuan arsip yang ada untuk akun tersebut. Namun, temuan yang ada mungkin tidak akurat karena akan mencerminkan keadaan AWS lingkungan Anda saat Anda menonaktifkan CSPM Security Hub. Selain itu, saat Anda mengaktifkan kembali standar dan kontrol individual, Security Hub CSPM mungkin awalnya menghasilkan temuan duplikat untuk AWS sumber daya tertentu, tergantung pada standar dan kontrol yang Anda aktifkan. Untuk alasan ini, kami menyarankan Anda melakukan salah satu hal berikut:
+ Ubah status alur kerja dari semua temuan yang ada `RESOLVED` sebelum Anda menonaktifkan CSPM Security Hub. Untuk informasi selengkapnya, lihat [Mengatur status alur kerja temuan](findings-workflow-status.md).
+ Nonaktifkan semua standar setidaknya enam hari sebelum Anda menonaktifkan Security Hub CSPM. Security Hub CSPM kemudian mengarsipkan semua temuan yang ada berdasarkan upaya terbaik, biasanya dalam waktu tiga hingga lima hari. Untuk informasi selengkapnya, lihat [Menonaktifkan standar](disable-standards.md).

Anda tidak dapat menonaktifkan CSPM Security Hub dalam kasus berikut:
+ Akun Anda adalah akun administrator CSPM Security Hub yang didelegasikan untuk organisasi. Jika Anda menggunakan konfigurasi pusat, Anda tidak dapat mengaitkan kebijakan konfigurasi yang menonaktifkan CSPM Security Hub untuk akun administrator yang didelegasikan. Asosiasi dapat berhasil untuk akun lain, tetapi CSPM Security Hub tidak menerapkan kebijakan tersebut ke akun administrator yang didelegasikan.
+ Akun Anda adalah akun administrator CSPM Security Hub berdasarkan undangan, dan Anda memiliki akun anggota. Sebelum Anda dapat menonaktifkan Security Hub CSPM, Anda harus memisahkan semua akun anggota Anda. Untuk mempelajari caranya, lihat [Memutuskan akun anggota di Security Hub CSPM](securityhub-disassociate-members.md).

Sebelum pemilik akun anggota dapat menonaktifkan CSPM Security Hub, akun harus memisahkan diri dari akun administratornya. Untuk akun organisasi, hanya akun administrator yang dapat memisahkan akun anggota. Untuk informasi selengkapnya, lihat [Memutuskan akun anggota CSPM Security Hub dari organisasi Anda](accounts-orgs-disassociate.md). Untuk akun yang diundang secara manual, akun administrator atau akun anggota dapat memisahkan akun. Untuk informasi selengkapnya, lihat [Memutuskan akun anggota di Security Hub CSPM](securityhub-disassociate-members.md) atau [Memutuskan hubungan dari akun administrator CSPM Security Hub](securityhub-disassociate-from-admin.md). Pemutusan tidak diperlukan jika Anda menggunakan konfigurasi pusat karena administrator CSPM Security Hub dapat membuat kebijakan yang menonaktifkan CSPM Security Hub untuk akun anggota tertentu.

Saat Anda menonaktifkan CSPM Security Hub untuk sebuah akun, CSPM hanya dinonaktifkan saat ini. Wilayah AWS Namun, jika Anda menggunakan konfigurasi pusat untuk menonaktifkan CSPM Security Hub untuk akun tertentu, itu dinonaktifkan di Wilayah beranda dan semua Wilayah yang ditautkan.

Untuk menonaktifkan CSPM Security Hub, pilih metode pilihan Anda dan ikuti langkah-langkahnya.

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah ini untuk menonaktifkan CSPM Security Hub dengan menggunakan konsol.

**Untuk menonaktifkan CSPM Security Hub**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Di panel navigasi, pada **Pengaturan**, pilih **Umum**.

1. Di bagian **Nonaktifkan CSPM Security Hub, pilih Nonaktifkan CSPM** **Security Hub**.

1. Saat diminta konfirmasi, pilih **Nonaktifkan CSPM Security Hub**.

------
#### [ Security Hub API ]

Untuk menonaktifkan Security Hub CSPM secara terprogram, gunakan [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)pengoperasian Security Hub AWS API. Atau, jika Anda menggunakan AWS CLI, jalankan [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html)perintah. Misalnya, perintah berikut menonaktifkan CSPM Security Hub saat ini: Wilayah AWS

```
$ aws securityhub disable-security-hub
```

------

# Keamanan di AWS Security Hub CSPM
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari program kepatuhan yang berlaku di AWS Security Hub CSPM, lihat [Cakupan Layanan Menurut Program Kepatuhan AWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Security Hub CSPM. Topik berikut menunjukkan cara mengonfigurasi CSPM Security Hub untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya CSPM Security Hub Anda.

**Topics**
+ [Perlindungan data di AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management untuk Security Hub CSPM](security-iam.md)
+ [Validasi kepatuhan untuk AWS Security Hub CSPM](securityhub-compliance.md)
+ [Ketahanan di Security Hub AWS](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM dan antarmuka titik akhir VPC ()AWS PrivateLink](security-vpc-endpoints.md)

# Perlindungan data di AWS Security Hub CSPM
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Security Hub CSPM. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Security Hub CSPM atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Security Hub CSPM adalah penawaran layanan multi-tenant. Untuk memastikan perlindungan data, Security Hub CSPM mengenkripsi data saat istirahat dan data dalam perjalanan antar layanan komponen.

# AWS Identity and Access Management untuk Security Hub CSPM
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Security Hub. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Security Hub bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS kebijakan terkelola untuk Security Hub](security-iam-awsmanpol.md)
+ [Memecahkan masalah AWS Security Hub CSPM identitas dan akses](security_iam_troubleshoot.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS Security Hub CSPM identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Security Hub bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana Security Hub bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS Security Hub CSPM, pelajari fitur IAM mana yang tersedia untuk digunakan dengan Security Hub CSPM.


**Fitur IAM yang dapat Anda gunakan AWS Security Hub CSPM**  

| Fitur IAM | Dukungan CSPM Security Hub | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Tidak   | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Tidak   | 
|  [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [Daftar kontrol akses (ACLs)](#security_iam_service-with-iam-acls)  |   Tidak   | 
|  [Kontrol akses berbasis atribut (ABAC) — tag dalam kebijakan](#security_iam_service-with-iam-tags)  |   Ya  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Tidak   | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |   Ya  | 

*Untuk tampilan tingkat tinggi tentang cara Layanan AWS kerja Security Hub CSPM dan fitur lainnya dengan sebagian besar fitur IAM, lihat fitur [Layanan AWS tersebut bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Kebijakan berbasis identitas untuk Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

Security Hub CSPM mendukung kebijakan berbasis identitas. Untuk informasi selengkapnya, lihat [Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Kebijakan berbasis sumber daya untuk Security Hub CSPM
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

Security Hub CSPM tidak mendukung kebijakan berbasis sumber daya. Anda tidak dapat melampirkan kebijakan IAM secara langsung ke sumber daya CSPM Security Hub.

## Tindakan kebijakan untuk Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Security Hub CSPM menggunakan awalan berikut sebelum tindakan:

```
securityhub:
```

Misalnya, untuk memberikan izin kepada pengguna untuk mengaktifkan CSPM Security Hub, yang merupakan tindakan yang sesuai dengan `EnableSecurityHub` pengoperasian API CSPM Security Hub, sertakan `securityhub:EnableSecurityHub` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Security Hub CSPM mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

```
"Action": "securityhub:EnableSecurityHub"
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma. Contoh:

```
"Action": [
      "securityhub:EnableSecurityHub",
      "securityhub:BatchEnableStandards"
```

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Get`, sertakan tindakan berikut:

```
"Action": "securityhub:Get*"
```

Namun, sebagai praktik terbaik, Anda harus membuat kebijakan yang mengikuti prinsip hak istimewa paling sedikit. Dengan kata lain, Anda harus membuat kebijakan yang hanya menyertakan izin yang diperlukan untuk melakukan tugas tertentu.

Pengguna harus memiliki akses ke `DescribeStandardsControl` operasi untuk memiliki akses ke`BatchGetSecurityControls`,`BatchGetStandardsControlAssociations`, dan`ListStandardsControlAssociations`.

Pengguna harus memiliki akses ke `UpdateStandardsControls` operasi untuk memiliki akses ke`BatchUpdateStandardsControlAssociations`, dan`UpdateSecurityControl`.

Untuk daftar tindakan CSPM Security Hub, lihat [Tindakan yang ditentukan oleh AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) dalam Referensi *Otorisasi Layanan*. Untuk contoh kebijakan yang menentukan tindakan CSPM Security Hub, lihat. [Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Tidak 

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Security Hub CSPM mendefinisikan jenis sumber daya berikut:
+ Hub
+ Produk
+ Menemukan agregator, juga disebut sebagai agregator *lintas wilayah*
+ Aturan otomatisasi
+ Kebijakan konfigurasi

Anda dapat menentukan jenis sumber daya ini dalam kebijakan dengan menggunakan ARNs.

*Untuk daftar jenis sumber daya CSPM Security Hub dan sintaks ARN untuk masing-masing sumber daya, lihat [Jenis sumber daya yang ditentukan oleh AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) dalam Referensi Otorisasi Layanan.* Untuk mempelajari tindakan yang dapat Anda tentukan untuk setiap jenis sumber daya, lihat [Tindakan yang ditentukan oleh AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) dalam *Referensi Otorisasi Layanan*. Untuk contoh kebijakan yang menentukan sumber daya, lihat[Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Kunci kondisi kebijakan untuk Security Hub CSPM
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Untuk daftar kunci kondisi CSPM Security Hub, lihat [Kunci kondisi untuk AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) Referensi *Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Untuk contoh kebijakan yang menggunakan kunci kondisi, lihat[Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).

## Daftar kontrol akses (ACLs) di Security Hub CSPM
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Security Hub CSPM tidak mendukung ACLs, yang berarti Anda tidak dapat melampirkan ACL ke sumber daya CSPM Security Hub.

## Kontrol akses berbasis atribut (ABAC) dengan Security Hub CSPM
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tanda dalam kebijakan):** Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

Anda dapat melampirkan tag ke sumber daya CSPM Security Hub. Anda juga dapat mengontrol akses ke sumber daya dengan memberikan informasi tag dalam `Condition` elemen kebijakan.

Untuk informasi tentang menandai sumber daya CSPM Security Hub, lihat. [Menandai sumber daya Security Hub](tagging-resources.md) Untuk contoh kebijakan berbasis identitas yang mengontrol akses ke sumber daya berdasarkan tag, lihat. [Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)

## Menggunakan kredensyal sementara dengan Security Hub CSPM
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

Security Hub CSPM mendukung penggunaan kredensi sementara.

## Teruskan sesi akses untuk Security Hub CSPM
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

Misalnya, Security Hub CSPM membuat permintaan FAS ke hilir Layanan AWS saat Anda mengintegrasikan CSPM Security Hub dengan AWS Organizations dan saat Anda menetapkan akun administrator CSPM Security Hub yang didelegasikan untuk organisasi di Organizations.

Untuk tugas lain, Security Hub CSPM menggunakan peran terkait layanan untuk melakukan tindakan atas nama Anda. Untuk detail tentang peran ini, lihat[Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md).

## Peran layanan untuk Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service"></a>

Security Hub CSPM tidak mengasumsikan atau menggunakan peran layanan. Untuk melakukan tindakan atas nama Anda, Security Hub CSPM menggunakan peran terkait layanan. Untuk detail tentang peran ini, lihat[Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md).

**Awas**  
Mengubah izin untuk peran layanan dapat menimbulkan masalah operasional dengan penggunaan CSPM Security Hub oleh Anda. Edit peran layanan hanya jika Security Hub CSPM memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk Security Hub CSPM
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan**: Ya

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Security Hub CSPM menggunakan peran terkait layanan untuk melakukan tindakan atas nama Anda. Untuk detail tentang peran ini, lihat[Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md).

# Contoh kebijakan berbasis identitas untuk AWS Security Hub CSPM
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya CSPM Security Hub. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol CSPM Security Hub](#security_iam_id-based-policy-examples-console)
+ [Contoh: Izinkan pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Contoh: Izinkan pengguna membuat dan mengelola kebijakan konfigurasi](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Contoh: Izinkan pengguna untuk melihat temuan](#security_iam_id-based-policy-examples-view-findings)
+ [Contoh: Izinkan pengguna membuat dan mengelola aturan otomatisasi](#security_iam_id-based-policy-examples-create-automation-rule)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Security Hub di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol CSPM Security Hub
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses AWS Security Hub CSPM konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya CSPM Security Hub di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran tersebut dapat menggunakan konsol CSPM Security Hub, lampirkan juga kebijakan AWS terkelola berikut ke entitas. Untuk informasi selengkapnya, lihat [Menambahkan izin ke pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Contoh: Izinkan pengguna untuk melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Contoh: Izinkan pengguna membuat dan mengelola kebijakan konfigurasi
<a name="security_iam_id-based-policy-examples-create-configuration-policy"></a>

Contoh ini menunjukkan cara membuat kebijakan IAM yang memungkinkan pengguna membuat, melihat, memperbarui, dan menghapus kebijakan konfigurasi. Kebijakan contoh ini juga memungkinkan pengguna untuk memulai, menghentikan, dan melihat asosiasi kebijakan. Agar kebijakan IAM ini berfungsi, pengguna harus menjadi administrator CSPM Security Hub yang didelegasikan untuk organisasi.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateConfigurationPolicy",
                "securityhub:UpdateConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetConfigurationPolicy",
                "securityhub:ListConfigurationPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteConfigurationPolicy",
            "Effect": "Allow",
            "Action": [
                "securityhub:DeleteConfigurationPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetConfigurationPolicyAssociations",
                "securityhub:GetConfigurationPolicyAssociation",
                "securityhub:ListConfigurationPolicyAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "UpdateConfigurationPolicyAssociation",
            "Effect": "Allow",
            "Action": [
                "securityhub:StartConfigurationPolicyAssociation",
                "securityhub:StartConfigurationPolicyDisassociation"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Contoh: Izinkan pengguna untuk melihat temuan
<a name="security_iam_id-based-policy-examples-view-findings"></a>

Contoh ini menunjukkan cara membuat kebijakan IAM yang memungkinkan pengguna melihat temuan CSPM Security Hub.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReviewFindings",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetFindings"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Contoh: Izinkan pengguna membuat dan mengelola aturan otomatisasi
<a name="security_iam_id-based-policy-examples-create-automation-rule"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan IAM yang memungkinkan pengguna membuat, melihat, memperbarui, dan menghapus aturan otomatisasi CSPM Security Hub. Agar kebijakan IAM ini berfungsi, pengguna harus menjadi administrator CSPM Security Hub. Untuk membatasi izin — misalnya, untuk mengizinkan pengguna hanya melihat aturan otomatisasi — Anda dapat menghapus izin buat, perbarui, dan hapus.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAndUpdateAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:CreateAutomationRule",
                "securityhub:BatchUpdateAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchGetAutomationRules",
                "securityhub:ListAutomationRules"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteAutomationRules",
            "Effect": "Allow",
            "Action": [
                "securityhub:BatchDeleteAutomationRules"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Peran terkait layanan untuk AWS Security Hub CSPM
<a name="using-service-linked-roles"></a>

AWS Security Hub CSPM menggunakan peran [terkait layanan AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) bernama. `AWSServiceRoleForSecurityHub` Peran terkait layanan ini adalah peran IAM yang ditautkan langsung ke Security Hub CSPM. Ini telah ditentukan oleh Security Hub CSPM, dan mencakup semua izin yang diperlukan Security Hub CSPM untuk memanggil sumber daya lain Layanan AWS dan memantau sumber daya atas nama Anda. AWS Security Hub CSPM menggunakan peran terkait layanan ini di semua tempat CSPM Security Wilayah AWS Hub tersedia.

Peran terkait layanan membuat pengaturan CSPM Security Hub lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Security Hub CSPM mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Security Hub CSPM yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan Anda tidak dapat melampirkan kebijakan izin tersebut ke entitas IAM lainnya.

Untuk meninjau detail peran terkait layanan, Anda dapat menggunakan konsol CSPM Security Hub. Di panel navigasi, pilih **Umum** di bawah **Pengaturan**. Kemudian, di bagian Izin **layanan, pilih Lihat izin** **layanan**.

Anda dapat menghapus peran terkait layanan CSPM Security Hub hanya setelah Anda menonaktifkan CSPM Security Hub di semua Wilayah yang diaktifkan. Ini melindungi sumber daya CSPM Security Hub karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengaksesnya.

**Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [AWS layanan yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) di *Panduan Pengguna IAM* dan temukan layanan yang memiliki **Ya** di kolom Peran terkait layanan.** Pilih **Ya** dengan tautan untuk meninjau dokumentasi peran terkait layanan untuk layanan tersebut.

**Topics**
+ [Izin peran terkait layanan untuk CSPM Security Hub](#slr-permissions)
+ [Membuat peran terkait layanan untuk Security Hub CSPM](#create-slr)
+ [Mengedit peran terkait layanan untuk Security Hub CSPM](#edit-slr)
+ [Menghapus peran terkait layanan untuk Security Hub CSPM](#delete-slr)
+ [Peran terkait layanan untuk AWS Security Hub V2](#slr-permissions-v2)

## Izin peran terkait layanan untuk CSPM Security Hub
<a name="slr-permissions"></a>

Security Hub CSPM menggunakan peran terkait layanan bernama. `AWSServiceRoleForSecurityHub` Ini adalah peran terkait layanan yang diperlukan AWS Security Hub CSPM untuk mengakses sumber daya Anda. Peran terkait layanan ini memungkinkan CSPM Security Hub untuk melakukan tugas-tugas seperti menerima temuan dari orang lain Layanan AWS dan mengonfigurasi AWS Config infrastruktur yang diperlukan untuk menjalankan pemeriksaan keamanan untuk kontrol. Peran terkait layanan `AWSServiceRoleForSecurityHub` memercayai layanan `securityhub.amazonaws.com` untuk menjalankan peran.

`AWSServiceRoleForSecurityHub`Peran terkait layanan menggunakan kebijakan terkelola. [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy)

Anda harus memberikan izin untuk mengizinkan identitas IAM (seperti peran, grup, atau pengguna) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran `AWSServiceRoleForSecurityHub` terkait layanan berhasil dibuat, identitas IAM yang Anda gunakan untuk mengakses CSPM Security Hub harus memiliki izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut untuk identitas IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## Membuat peran terkait layanan untuk Security Hub CSPM
<a name="create-slr"></a>

Peran `AWSServiceRoleForSecurityHub` terkait layanan dibuat secara otomatis saat Anda mengaktifkan CSPM Security Hub untuk pertama kalinya atau Anda mengaktifkan CSPM Security Hub di Wilayah yang sebelumnya tidak Anda aktifkan. Anda juga dapat membuat peran `AWSServiceRoleForSecurityHub` terkait layanan secara manual dengan menggunakan konsol IAM, IAM CLI, atau IAM API. Untuk informasi selengkapnya tentang membuat peran secara manual, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.

**penting**  
Peran terkait layanan yang dibuat untuk akun administrator CSPM Security Hub tidak berlaku untuk akun anggota CSPM Security Hub terkait.

## Mengedit peran terkait layanan untuk Security Hub CSPM
<a name="edit-slr"></a>

Security Hub CSPM tidak mengizinkan Anda mengedit peran terkait `AWSServiceRoleForSecurityHub` layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengubah deskripsi peran dengan menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk Security Hub CSPM
<a name="delete-slr"></a>

Jika Anda tidak lagi perlu menggunakan sebuah fitur atau layanan yang memerlukan sebuah peran terkait layanan, kami merekomendasikan Anda untuk menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak terpakai yang tidak dipantau atau dipelihara secara aktif.

Saat Anda menonaktifkan CSPM Security Hub, Security Hub CSPM tidak secara otomatis menghapus peran terkait `AWSServiceRoleForSecurityHub` layanan untuk Anda. Jika Anda mengaktifkan CSPM Security Hub lagi, layanan dapat mulai menggunakan peran terkait layanan yang ada lagi. Jika Anda tidak perlu lagi menggunakan Security Hub CSPM, Anda dapat menghapus peran terkait layanan secara manual.

**penting**  
Sebelum menghapus peran `AWSServiceRoleForSecurityHub` terkait layanan, Anda harus menonaktifkan CSPM Security Hub terlebih dahulu di semua Wilayah yang diaktifkan. Untuk informasi selengkapnya, lihat [Menonaktifkan CSPM Security Hub](securityhub-disable.md). Jika CSPM Security Hub tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal.

Untuk menghapus peran `AWSServiceRoleForSecurityHub` terkait layanan, Anda dapat menggunakan konsol IAM, IAM CLI, atau IAM API. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Peran terkait layanan untuk AWS Security Hub V2
<a name="slr-permissions-v2"></a>

 menggunakan peran terkait layanan bernama. `AWSServiceRoleForSecurityHubV2` Peran terkait layanan ini memungkinkan untuk mengelola AWS Config aturan dan sumber daya untuk organisasi Anda dan atas nama Anda. Peran terkait layanan `AWSServiceRoleForSecurityHubV2` memercayai layanan `securityhub.amazonaws.com` untuk menjalankan peran.

`AWSServiceRoleForSecurityHubV2`Peran terkait layanan menggunakan kebijakan terkelola. [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy)

**Detail izin**  
 Kebijakan ini mencakup izin berikut: 
+  `cloudwatch`— Memungkinkan peran untuk mengambil data metrik untuk mendukung kemampuan pengukuran untuk sumber daya. 
+  `config`— Memungkinkan peran untuk mengelola perekam konfigurasi terkait layanan untuk sumber daya, termasuk dukungan untuk perekam global. AWS Config 
+  `ecr`— Memungkinkan peran untuk mengambil informasi tentang gambar dan repositori Amazon Elastic Container Registry untuk mendukung kemampuan pengukuran. 
+  `iam`— Memungkinkan peran untuk membuat peran terkait layanan AWS Config dan mengambil informasi akun untuk mendukung kemampuan pengukuran. 
+  `lambda`- Memungkinkan peran untuk mengambil informasi AWS Lambda fungsi untuk mendukung kemampuan pengukuran. 
+  `organizations`— Memungkinkan peran untuk mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi. 
+  `securityhub`— Memungkinkan peran untuk mengelola konfigurasi. 
+  `tag`— Memungkinkan peran untuk mengambil informasi tentang tag sumber daya. 

Anda harus memberikan izin untuk mengizinkan identitas IAM (seperti peran, grup, atau pengguna) untuk membuat, mengedit, atau menghapus peran terkait layanan. Agar peran `AWSServiceRoleForSecurityHubV2` terkait layanan berhasil dibuat, identitas IAM yang Anda gunakan untuk mengakses harus memiliki izin yang diperlukan. Untuk memberikan izin yang diperlukan, lampirkan kebijakan berikut untuk identitas IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*"    
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "securityhub.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Membuat peran terkait layanan untuk AWS Security Hub V2
<a name="create-slr-v2"></a>

Peran `AWSServiceRoleForSecurityHubV2` terkait layanan dibuat secara otomatis saat Anda mengaktifkan untuk pertama kalinya atau Anda mengaktifkan di Wilayah yang sebelumnya tidak Anda aktifkan. Anda juga dapat membuat peran `AWSServiceRoleForSecurityHubV2` terkait layanan secara manual dengan menggunakan konsol IAM, IAM CLI, atau IAM API. Untuk informasi selengkapnya tentang membuat peran secara manual, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.

**penting**  
Peran terkait layanan yang dibuat untuk akun administrator tidak berlaku untuk akun anggota terkait.

### Mengedit peran terkait layanan untuk AWS Security Hub V2
<a name="edit-slr-v2"></a>

 tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSecurityHubV2` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengubah deskripsi peran dengan menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

### Menghapus peran terkait layanan untuk Security Hub AWS V2
<a name="delete-slr-v2"></a>

Jika Anda tidak lagi perlu menggunakan sebuah fitur atau layanan yang memerlukan sebuah peran terkait layanan, kami merekomendasikan Anda untuk menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak terpakai yang tidak dipantau atau dipelihara secara aktif.

Ketika Anda menonaktifkan, tidak secara otomatis menghapus peran `AWSServiceRoleForSecurityHubV2` terkait layanan untuk Anda. Jika Anda mengaktifkan lagi, layanan kemudian dapat mulai menggunakan peran terkait layanan yang ada lagi. Jika Anda tidak perlu lagi menggunakan, Anda dapat menghapus peran terkait layanan secara manual.

**penting**  
Sebelum menghapus peran `AWSServiceRoleForSecurityHubV2` terkait layanan, Anda harus menonaktifkan terlebih dahulu di semua Wilayah yang diaktifkan. Untuk informasi selengkapnya, lihat [Menonaktifkan CSPM Security Hub](securityhub-disable.md). Jika tidak dinonaktifkan saat Anda mencoba menghapus peran terkait layanan, penghapusan akan gagal.

Untuk menghapus peran `AWSServiceRoleForSecurityHubV2` terkait layanan, Anda dapat menggunakan konsol IAM, IAM CLI, atau IAM API. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

# AWS kebijakan terkelola untuk Security Hub
<a name="security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.



## AWS kebijakan terkelola: AWSSecurityHubFullAccess
<a name="security-iam-awsmanpol-awssecurityhubfullaccess"></a>

Anda dapat melampirkan kebijakan `AWSSecurityHubFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan CSPM Security Hub. Kebijakan ini harus dilampirkan pada prinsipal sebelum mengaktifkan Security Hub CSPM secara manual untuk akun mereka. Misalnya, kepala sekolah dengan izin ini dapat melihat dan memperbarui status temuan. Mereka juga dapat mengonfigurasi wawasan khusus, mengaktifkan integrasi, dan mengaktifkan serta menonaktifkan standar dan kontrol. Prinsipal untuk akun administrator juga dapat mengelola akun anggota.

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `securityhub`— Memungkinkan kepala sekolah akses penuh ke semua tindakan CSPM Security Hub.
+ `guardduty`— Memungkinkan kepala sekolah melakukan manajemen siklus hidup penuh dari detektor, manajemen admin organisasi, penyimpanan akun anggota, dan konfigurasi seluruh organisasi di Amazon. GuardDuty Ini termasuk tindakan API: GetDetector, ListDetector CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration. 
+ `iam`— Memungkinkan prinsipal untuk membuat peran terkait layanan untuk Security Hub CSPM dan Security Hub dan untuk mendapatkan peran, kebijakan, dan versi kebijakan.
+ `inspector`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang status akun, mengaktifkan atau menonaktifkan, mendelegasikan manajemen admin, dan melakukan manajemen konfigurasi organisasi di Amazon Inspector. Ini termasuk tindakan API: BatchGetAccountStatus, Aktifkan, Nonaktifkan EnableDelegatedAdminAccount DisableDelegatedAdminAccount,, ListDelegatedAdminAccounts, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `pricing`— Memungkinkan kepala sekolah untuk mendapatkan daftar harga dan produk. Layanan AWS 
+ `account`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang Wilayah akun untuk mendukung manajemen Wilayah di Security Hub.

Untuk meninjau izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSecurityHubReadOnlyAccess
<a name="security-iam-awsmanpol-awssecurityhubreadonlyaccess"></a>

Anda dapat melampirkan kebijakan `AWSSecurityHubReadOnlyAccess` ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di CSPM Security Hub. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun di Security Hub CSPM. Misalnya, kepala sekolah dengan izin ini dapat melihat daftar temuan yang terkait dengan akun mereka, tetapi tidak dapat mengubah status temuan. Mereka dapat melihat hasil wawasan, tetapi tidak dapat membuat atau mengonfigurasi wawasan khusus. Mereka tidak dapat mengonfigurasi kontrol atau integrasi produk.

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `securityhub`— Memungkinkan pengguna untuk melakukan tindakan yang mengembalikan daftar item atau rincian tentang item. Ini termasuk operasi API yang dimulai dengan`Get`,`List`, atau`Describe`.

Untuk meninjau izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSecurityHubOrganizationsAccess
<a name="security-iam-awsmanpol-awssecurityhuborganizationsaccess"></a>

 Anda dapat melampirkan kebijakan `AWSSecurityHubOrganizationsAccess` ke identitas IAM Anda. 

Kebijakan ini memberikan izin administratif untuk mengaktifkan dan mengelola Security Hub, Security Hub CSPM, Amazon, dan GuardDuty Amazon Inspector bagi organisasi di. AWS Organizations Izin untuk kebijakan ini memungkinkan akun manajemen organisasi menunjuk akun administrator yang didelegasikan untuk Security Hub, Security Hub CSPM, Amazon, dan GuardDuty Amazon Inspector. Mereka juga mengizinkan akun administrator yang didelegasikan untuk mengaktifkan akun organisasi sebagai akun anggota. 

Kebijakan ini hanya memberikan izin untuk AWS Organizations. Akun manajemen organisasi dan akun administrator yang didelegasikan juga memerlukan izin untuk tindakan terkait. Izin ini dapat diberikan menggunakan kebijakan `AWSSecurityHubFullAccess` terkelola. 

Membuat atau memperbarui kebijakan administrator yang didelegasikan dalam akun manajemen memerlukan izin tambahan yang tidak disediakan dalam kebijakan ini. Untuk melakukan tindakan ini disarankan untuk menambahkan izin untuk `organizations:PutResourcePolicy` atau melampirkan AWSOrganizations FullAccess kebijakan. 

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `organizations:ListAccounts`— Memungkinkan kepala sekolah untuk mengambil daftar akun yang merupakan bagian dari organisasi.
+ `organizations:DescribeOrganization`— Memungkinkan kepala sekolah untuk mengambil informasi tentang organisasi.
+ `organizations:ListRoots`— Memungkinkan kepala sekolah untuk membuat daftar akar organisasi.
+ `organizations:ListDelegatedAdministrators`— Memungkinkan kepala sekolah untuk membuat daftar administrator yang didelegasikan dari suatu organisasi.
+ `organizations:ListAWSServiceAccessForOrganization`— Memungkinkan kepala sekolah untuk membuat daftar Layanan AWS yang digunakan organisasi.
+ `organizations:ListOrganizationalUnitsForParent`— Memungkinkan kepala sekolah untuk membuat daftar unit organisasi anak (OU) dari OU orang tua.
+ `organizations:ListAccountsForParent`— Memungkinkan kepala sekolah untuk membuat daftar akun anak dari OU orang tua.
+  `organizations:ListParents`— Daftar root atau unit organisasi (OUs) yang berfungsi sebagai induk langsung dari OU atau akun anak yang ditentukan. 
+ `organizations:DescribeAccount` – Memungkinkan principal mengambil informasi tentang akun di organisasi.
+ `organizations:DescribeOrganizationalUnit`— Memungkinkan kepala sekolah untuk mengambil informasi tentang OU dalam organisasi.
+  `organizations:ListPolicies`— Mengambil daftar semua kebijakan dalam organisasi dari jenis tertentu. 
+  `organizations:ListPoliciesForTarget`— Daftar kebijakan yang secara langsung dilampirkan ke root target yang ditentukan, unit organisasi (OU), atau akun. 
+  `organizations:ListTargetsForPolicy`— Daftar semua akar, unit organisasi (OUs), dan akun yang dilampirkan kebijakan yang ditentukan. 
+ `organizations:EnableAWSServiceAccess`— Memungkinkan prinsipal untuk mengaktifkan integrasi dengan Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Memungkinkan kepala sekolah untuk menunjuk akun administrator yang didelegasikan.
+ `organizations:DeregisterDelegatedAdministrator`— Memungkinkan kepala sekolah untuk menghapus akun administrator yang didelegasikan.
+  `organizations:DescribePolicy`— Mengambil informasi tentang kebijakan. 
+  `organizations:DescribeEffectivePolicy`— Mengembalikan isi kebijakan efektif untuk jenis kebijakan dan akun tertentu. 
+  `organizations:CreatePolicy`— Membuat kebijakan dari jenis tertentu yang dapat Anda lampirkan ke root, unit organisasi (OU), atau AWS akun individu. 
+  `organizations:UpdatePolicy`— Memperbarui kebijakan yang ada dengan nama, deskripsi, atau konten baru. 
+  `organizations:DeletePolicy`— Menghapus kebijakan yang ditentukan dari organisasi Anda. 
+  `organizations:AttachPolicy`— Melampirkan kebijakan ke root, unit organisasi (OU), atau akun individu. 
+  `organizations:DetachPolicy`Melepaskan kebijakan dari akar target, unit organisasi (OU), atau akun. 
+  `organizations:EnablePolicyType`— Mengaktifkan jenis kebijakan di root. 
+  `organizations:DisablePolicyType`— Menonaktifkan jenis kebijakan organisasi di root. 
+  `organizations:TagResource`— Menambahkan satu atau lebih tag ke sumber daya tertentu. 
+  `organizations:UntagResource`— Menghapus tag apa pun dengan kunci yang ditentukan dari sumber daya tertentu. 
+  `organizations:ListTagsForResource`— Daftar tag yang dilampirkan ke sumber daya tertentu. 
+  `organizations:DescribeResourcePolicy`— Mengambil informasi tentang kebijakan sumber daya. 

Untuk meninjau izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSecurityHubServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubservicerolepolicy"></a>

Anda tidak dapat melampirkan `AWSSecurityHubServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CSPM Security Hub melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md).

Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk melakukan tugas seperti menjalankan pemeriksaan keamanan untuk kontrol CSPM Security Hub.

**Detail izin**

Kebijakan ini mencakup izin berikut:
+ `cloudtrail`— Ambil informasi tentang jalan CloudTrail setapak.
+ `cloudwatch`— Ambil CloudWatch alarm saat ini.
+ `logs`— Ambil filter metrik untuk CloudWatch log.
+ `sns`— Ambil daftar langganan ke topik SNS.
+ `config`— Mengambil informasi tentang perekam konfigurasi, sumber daya, dan AWS Config aturan. Juga memungkinkan peran terkait layanan untuk membuat dan menghapus AWS Config aturan, dan menjalankan evaluasi terhadap aturan.
+ `iam`— Mengambil dan menghasilkan laporan kredensi untuk akun.
+ `organizations`— Mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi.
+ `securityhub`— Mengambil informasi tentang bagaimana layanan, standar, dan kontrol CSPM Security Hub dikonfigurasi.
+ `tag`— Mengambil informasi tentang tag sumber daya.

Untuk meninjau izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSecurityHubV2ServiceRolePolicy
<a name="security-iam-awsmanpol-awssecurityhubv2servicerolepolicy"></a>

**catatan**  
 Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu. 

Kebijakan ini memungkinkan Security Hub mengelola AWS Config aturan dan sumber daya Security Hub untuk organisasi Anda dan atas nama Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan layanan melakukan tindakan atas nama Anda. Anda dapat melampirkan kebijakan ini ke identitas-identitas IAM Anda. Untuk informasi selengkapnya, lihat [Peran terkait layanan untuk AWS Security Hub CSPM](using-service-linked-roles.md). 

**Detail izin**  
 Kebijakan ini mencakup izin berikut: 
+  `cloudwatch`— Ambil data metrik untuk mendukung kemampuan pengukuran untuk sumber daya Security Hub. 
+  `config`— Kelola perekam konfigurasi terkait layanan untuk sumber daya Security Hub, termasuk dukungan untuk perekam Config global. 
+  `ecr`— Ambil informasi tentang gambar dan repositori Amazon Elastic Container Registry untuk mendukung kemampuan pengukuran. 
+  `iam`— Buat peran terkait layanan AWS Config dan ambil informasi akun untuk mendukung kemampuan pengukuran. 
+  `lambda`- Ambil informasi AWS Lambda fungsi untuk mendukung kemampuan pengukuran. 
+  `organizations`— Mengambil informasi akun dan unit organisasi (OU) untuk suatu organisasi. 
+  `securityhub`— Kelola konfigurasi Security Hub. 
+  `tag`— Mengambil informasi tentang tag sumber daya. 

Untuk meninjau izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## Pembaruan Security Hub ke kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>

Tabel berikut memberikan rincian tentang pembaruan kebijakan AWS terkelola untuk AWS Security Hub dan Security Hub CSPM sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang pembaruan kebijakan, berlangganan umpan RSS di halaman [riwayat dokumen Security Hub](doc-history.md).








| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|   [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Kebijakan yang diperbarui   |  Security Hub memperbarui kebijakan untuk menambahkan izin guna menjelaskan kebijakan sumber daya guna mendukung fitur Security Hub. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.   | November 12, 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Kebijakan yang diperbarui   |  Security Hub memperbarui kebijakan untuk menambahkan kemampuan seputar pengelolaan GuardDuty, Amazon Inspector, dan manajemen akun untuk mendukung fitur Security Hub. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.   | November 17, 2025 | 
|   [AWSSecurityHUBv2 ServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) - Kebijakan yang diperbarui   |  Security Hub memperbarui kebijakan untuk menambahkan kemampuan pengukuran untuk Amazon Elastic Container Registry AWS Lambda, Amazon CloudWatch, dan AWS Identity and Access Management untuk mendukung fitur Security Hub. Pembaruan juga menambahkan dukungan untuk AWS Config perekam global. Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.   | November 5, 2025 | 
|  [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Pembaruan ke kebijakan yang ada  | Security Hub menambahkan izin baru ke kebijakan. Izin memungkinkan manajemen organisasi untuk mengaktifkan dan mengelola Security Hub dan Security Hub CSPM untuk organisasi.  | Juni 17, 2025 | 
|   [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) – Pembaruan ke kebijakan yang ada  |  Security Hub CSPM menambahkan izin baru yang memungkinkan prinsipal membuat peran terkait layanan untuk Security Hub.  | Juni 17, 2025 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Perbarui ke kebijakan yang ada  | Security Hub CSPM memperbarui kebijakan untuk mendapatkan detail harga Layanan AWS dan produk.  | April 24, 2024 | 
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Perbarui ke kebijakan yang ada  | Security Hub CSPM memperbarui kebijakan terkelola ini dengan menambahkan kolom. Sid  | Februari 22, 2024 | 
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Perbarui ke kebijakan yang ada  | Security Hub CSPM memperbarui kebijakan sehingga dapat menentukan apakah Amazon GuardDuty dan Amazon Inspector diaktifkan di akun. Ini membantu pelanggan menyatukan informasi terkait keamanan dari beberapa. Layanan AWS | 16 November 2023 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Perbarui ke kebijakan yang ada  | Security Hub CSPM memperbarui kebijakan untuk memberikan izin tambahan guna mengizinkan akses hanya-baca ke fungsionalitas administrator yang didelegasikan. AWS Organizations Ini termasuk detail seperti root, unit organisasi (OUs), akun, struktur organisasi, dan akses layanan.  | 16 November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM menambahkanBatchGetSecurityControls,DisassociateFromAdministratorAccount, dan UpdateSecurityControl izin untuk membaca dan memperbarui properti kontrol keamanan yang dapat disesuaikan.  | 26 November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM menambahkan tag:GetResources izin untuk membaca tag sumber daya yang terkait dengan temuan.  | 7 November 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM menambahkan BatchGetStandardsControlAssociations izin untuk mendapatkan informasi tentang status pemberdayaan kontrol dalam standar.  | 27 September 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM menambahkan izin baru untuk mendapatkan AWS Organizations data dan membaca serta memperbarui konfigurasi CSPM Security Hub, termasuk standar dan kontrol.  | 20 September 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM memindahkan config:DescribeConfigRuleEvaluationStatus izin yang ada ke pernyataan yang berbeda dalam kebijakan. config:DescribeConfigRuleEvaluationStatusIzin sekarang diterapkan ke semua sumber daya.  | Maret 17, 2023 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  |  Security Hub CSPM memindahkan config:PutEvaluations izin yang ada ke pernyataan yang berbeda dalam kebijakan. config:PutEvaluationsIzin sekarang diterapkan ke semua sumber daya.  | 14 Juli 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Pembaruan ke kebijakan yang ada  | Security Hub CSPM menambahkan izin baru untuk memungkinkan peran terkait layanan memberikan hasil evaluasi. AWS Config | 29 Juni 2021 | 
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Ditambahkan ke daftar kebijakan terkelola  | Menambahkan informasi tentang kebijakan terkelola AWSSecurityHubServiceRolePolicy, yang digunakan oleh peran terkait layanan CSPM Security Hub.  | 11 Juni 2021 | 
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Kebijakan baru  | Security Hub CSPM menambahkan kebijakan baru yang memberikan izin yang diperlukan untuk integrasi CSPM Security Hub dengan Organizations.  | 15 Maret 2021 | 
| Security Hub CSPM mulai melacak perubahan  | Security Hub CSPM mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 15 Maret 2021 | 

# Memecahkan masalah AWS Security Hub CSPM identitas dan akses
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Security Hub CSPM dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Security Hub CSPM](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin akses terprogram ke Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses CSPM Security Hub](#security_iam_troubleshoot-admin-delegate)
+ [Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya CSPM Security Hub saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di Security Hub CSPM
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang *widget* tetapi tidak memiliki `securityhub:GetWidget` izin.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `securityhub:GetWidget`.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Security Hub.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Security Hub. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin akses terprogram ke Security Hub CSPM
<a name="security_iam_troubleshoot-access-keys"></a>

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. Konsol Manajemen AWS Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.


****  

| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh | 
| --- | --- | --- | 
| IAM | (Disarankan) Gunakan kredenal konsol sebagai kredensional sementara untuk menandatangani permintaan terprogram ke,, atau. AWS CLI AWS SDKs AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
|  Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)  | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 
| IAM | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk dalam [Menggunakan kredensil sementara dengan AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) di Panduan Pengguna IAM. | 
| IAM | (Tidak direkomendasikan)Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/security_iam_troubleshoot.html)  | 

## Saya seorang administrator dan ingin mengizinkan orang lain mengakses CSPM Security Hub
<a name="security_iam_troubleshoot-admin-delegate"></a>

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

## Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya CSPM Security Hub saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Security Hub mendukung fitur-fitur ini, lihat[Bagaimana Security Hub bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# Validasi kepatuhan untuk AWS Security Hub CSPM
<a name="securityhub-compliance"></a>

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Ketahanan di Security Hub AWS
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan infrastruktur di AWS Security Hub CSPM
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, AWS Security Hub CSPM dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses CSPM Security Hub melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# AWS Security Hub CSPM dan antarmuka titik akhir VPC ()AWS PrivateLink
<a name="security-vpc-endpoints"></a>

Anda dapat membuat koneksi pribadi antara VPC Anda dan AWS Security Hub CSPM dengan membuat antarmuka *VPC* endpoint. Endpoint antarmuka didukung oleh [AWS PrivateLink](https://aws.amazon.com/privatelink), teknologi yang memungkinkan Anda mengakses CSPM Security Hub secara pribadi APIs tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct Connect. AWS Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Security Hub CSPM. APIs Lalu lintas antara VPC dan Security Hub CSPM Anda tidak meninggalkan jaringan Amazon. 

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di subnet Anda. Untuk informasi selengkapnya, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) antarmuka di Panduan *Amazon Virtual Private Cloud*. 

## Pertimbangan untuk titik akhir VPC Security Hub CSPM
<a name="vpc-endpoint-considerations"></a>

[Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Security Hub CSPM, pastikan Anda meninjau prasyarat dan informasi lainnya di Panduan Amazon Virtual Private Cloud.](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 

Security Hub CSPM mendukung panggilan ke semua tindakan API-nya dari VPC Anda. 

## Membuat antarmuka VPC endpoint untuk Security Hub CSPM
<a name="vpc-endpoint-create"></a>

Anda dapat membuat titik akhir VPC untuk layanan CSPM Security Hub menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di Panduan *Amazon Virtual Private Cloud*.

Buat titik akhir VPC untuk CSPM Security Hub menggunakan nama layanan berikut:

`com.amazonaws.region.securityhub` 

Di *region* mana kode Wilayah untuk yang berlaku Wilayah AWS.

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Security Hub CSPM menggunakan nama DNS default untuk Wilayah, misalnya, `securityhub.us-east-1.amazonaws.com` untuk Wilayah AS Timur (Virginia Utara). 

## Membuat kebijakan endpoint VPC untuk Security Hub CSPM
<a name="vpc-endpoint-policy"></a>

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda yang mengontrol akses ke CSPM Security Hub. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di Panduan *Amazon Virtual* Private Cloud. 

**Contoh: Kebijakan titik akhir VPC untuk tindakan CSPM Security Hub**  
Berikut ini adalah contoh kebijakan endpoint untuk Security Hub CSPM. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan CSPM Security Hub yang terdaftar untuk semua prinsipal di semua sumber daya.

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## Subnet bersama
<a name="sh-vpc-endpoint-shared-subnets"></a>

Anda tidak dapat membuat, mendeskripsikan, memodifikasi, atau menghapus titik akhir VPC di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan titik akhir VPC di subnet yang dibagikan dengan Anda. Untuk informasi tentang berbagi VPC, lihat [Membagikan subnet VPC Anda dengan akun lain di Panduan *Amazon* Virtual](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Private Cloud.

# Mencatat panggilan API Security Hub dengan CloudTrail
<a name="securityhub-ct"></a>

AWS Security Hub CSPM terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Security Hub CSPM. CloudTrail menangkap panggilan API untuk Security Hub CSPM sebagai peristiwa. Panggilan yang ditangkap termasuk panggilan dari konsol CSPM Security Hub dan panggilan kode ke operasi API CSPM Security Hub. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk peristiwa untuk Security Hub CSPM. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang CloudTrail dikumpulkan, Anda dapat menentukan permintaan yang dibuat ke Security Hub CSPM, alamat IP tempat permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. 

Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## Informasi CSPM Security Hub di CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas peristiwa yang didukung terjadi di Security Hub CSPM, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat **Acara**. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di akun . Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Untuk catatan peristiwa yang sedang berlangsung di akun Anda, termasuk acara untuk Security Hub CSPM, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak pada konsol tersebut, jejak diterapkan ke semua Wilayah AWS . Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut: 
+ [Gambaran umum untuk membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail layanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Menerima file CloudTrail log dari beberapa wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Security Hub CSPM mendukung pencatatan semua tindakan Security Hub CSPM API sebagai peristiwa dalam log. CloudTrail Untuk melihat daftar operasi CSPM Security Hub, lihat Referensi API [CSPM Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Saat aktivitas untuk tindakan berikut dicatat CloudTrail, nilai untuk `responseElements` disetel ke`null`. Ini memastikan bahwa informasi sensitif tidak disertakan dalam CloudTrail log.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`

Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini: 
+ Apakah permintaan dibuat dengan root atau AWS Identity and Access Management (IAM) kredensional pengguna
+ Baik permintaan tersebut dibuat dengan kredensial keamanan sementara untuk peran atau pengguna gabungan
+ Apakah permintaan itu dibuat oleh AWS layanan lain

Untuk informasi selengkapnya, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Contoh: Entri file log CSPM Security Hub
<a name="understanding-service-name-entries"></a>

Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber mana pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateInsight` tindakan. Dalam contoh ini, sebuah wawasan yang `Test Insight` disebut dibuat. `ResourceId`Atribut ditetapkan sebagai **Grup menurut** agregator, dan tidak ada filter opsional untuk wawasan ini yang ditentukan. Untuk informasi selengkapnya tentang wawasan, lihat [Melihat wawasan di Security Hub CSPM](securityhub-insights.md).

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}
```