Best practice operative per PCI DSS 4.0 (compresi i tipi di risorse globali) - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per PCI DSS 4.0 (compresi i tipi di risorse globali)

I Conformance Pack forniscono un framework di conformità generico progettato per consentire all'utente di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Payment Card Industry Data Security Standard (PCIDSS) 4.0 (esclusi i tipi di risorse globali) e le regole Config AWS gestite. Ogni AWS Config regola si applica a una AWS risorsa specifica e si riferisce a uno o più controlli. PCI DSS Un PCI DSS controllo può essere correlato a più regole di Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.

ID controllo Descrizione del controllo AWS Regola di Config Linea guida
1.2.5 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-security-policy-check

Assicurati che CloudFront le distribuzioni Amazon utilizzino una politica di sicurezza minima e una suite di crittografia di TLSv1 0,2 o superiore per le connessioni dei visualizzatori. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se è inferiore a .2_2018. minimumProtocolVersion TLSv1
1.2.5 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-sni-enabled

Assicurati che CloudFront le distribuzioni Amazon utilizzino un SSL certificato personalizzato e siano configurate per l'utilizzo per SNI soddisfare HTTPS le richieste. La regola è NON _ COMPLIANT se è associato un SSL certificato personalizzato ma il metodo di SSL supporto è un indirizzo IP dedicato.
1.2.5 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

transfer-family-server-no-ftp

Assicurati che un server creato con AWS Transfer Family non venga utilizzato FTP per la connessione agli endpoint. La regola è NON _ COMPLIANT se il protocollo del server per la connessione agli endpoint è FTP -enabled.
1.2.5 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
1.2.5 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
1.2.5 I controlli NSCs di sicurezza di rete () sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.2.8 I controlli di sicurezza di rete (NSCs) vengono configurati e gestiti. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
1.2.8 I controlli di sicurezza di rete (NSCs) sono configurati e gestiti. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.3.1 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

redshift-enhanced-vpc-routing-abilitato

Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
1.3.1 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
1.3.1 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
1.3.1 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.3.2 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

redshift-enhanced-vpc-routing-abilitato

Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
1.3.2 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
1.3.2 L'accesso alla rete da e verso l'ambiente dati del titolare della carta è limitato. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
1.3.2 L'accesso alla rete da e verso l'ambiente di dati del titolare della carta è limitato. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
1.4.1 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.4.1 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

redshift-enhanced-vpc-routing-abilitato

Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'.
1.4.1 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

redshift-enhanced-vpc-routing-abilitato

Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
1.4.2 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
1.4.3 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.4.3 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.4.3 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

netfw-policy-default-action-pacchetti completi

Assicurati che una policy AWS Network Firewall sia configurata con un'azione stateless predefinita definita dall'utente per pacchetti completi. Questa regola è NON _ COMPLIANT se l'azione stateless predefinita per pacchetti completi non corrisponde all'azione stateless predefinita definita dall'utente.
1.4.4 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.4.4 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

redshift-enhanced-vpc-routing-abilitato

Assicurati che i cluster Amazon Redshift abbiano «» enhancedVpcRouting abilitato. La regola è NON _ COMPLIANT se 'enhancedVpcRouting' non è abilitato o se la configurazione. enhancedVpcRouting il campo è 'falso'.
1.4.4 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.4.5 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

ecs-task-definition-pid-controllo della modalità

Assicurati che ECSTaskDefinitions siano configurati per condividere lo spazio dei nomi di processo di un host con i relativi contenitori Amazon Elastic Container Service ECS (Amazon). La regola è NON _ COMPLIANT se il pidMode parametro è impostato su 'host'.
1.4.5 Le connessioni di rete tra reti affidabili e non attendibili sono controllate. (PCI- DSS -v4.0)

ec2- -disabilitato launch-template-public-ip

Assicurati che i modelli Amazon EC2 Launch non siano impostati per assegnare indirizzi IP pubblici alle interfacce di rete. La regola è NON _ COMPLIANT se la versione predefinita di un EC2 Launch Template ha almeno un'interfaccia di rete con 'AssociatePublicIpAddress' impostato su 'true'.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non attendibili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non attendibili CDE sono mitigati. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a reti non affidabili sono mitigati. CDE (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a reti non affidabili CDE sono mitigati. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
1.5.1 I rischi per i CDE dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta sono mitigati. CDE (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
1.5.1 I rischi per CDE i dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro CDE sono mitigati. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi a reti non affidabili sono mitigati. CDE (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
1.5.1 I rischi per CDE i dispositivi informatici che sono in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti CDE sono mitigati. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta CDE sono mitigati. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro volta CDE sono mitigati. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
1.5.1 I rischi derivanti CDE da dispositivi informatici in grado di connettersi sia a reti non affidabili che a tali reti sono mitigati. CDE (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
1.5.1 I rischi per CDE i dispositivi informatici in grado di connettersi sia a reti non affidabili che a loro CDE sono mitigati. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.1 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.3 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.4 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.5 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.6 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.1.7 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.2.2 I registri di controllo sono implementati per supportare il rilevamento di anomalie e attività sospette e l'analisi forense degli eventi. PCI(DSS- -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.3.1 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

neptune-cluster-snapshot-public-proibito

Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
10.3.2 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

aurora-resources-protected-by-piano di backup

Assicurati che i cluster Amazon Aurora DB siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il cluster di database Amazon Relational Database Service (RDSAmazon) non è protetto da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

db-instance-backup-enabled

Assicurati che i backup delle istanze RDS DB siano abilitati. Facoltativamente, la regola verifica il periodo di retention dei backup e la finestra di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

dynamodb-in-backup-plan

Assicurati che le tabelle Amazon DynamoDB siano presenti nei AWS piani di backup. La regola è NON _ COMPLIANT se le tabelle Amazon DynamoDB non sono presenti in nessun AWS piano di Backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

dynamodb-resources-protected-by-piano di backup

Assicurati che le tabelle Amazon DynamoDB siano protette da un piano di backup. La regola è NON _ COMPLIANT se la tabella DynamoDB non è coperta da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

ebs-in-backup-plan

Assicurati che i volumi Amazon Elastic Block Store (AmazonEBS) vengano aggiunti nei piani di backup di AWS Backup. La regola è NON _ COMPLIANT se EBS i volumi Amazon non sono inclusi nei piani di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

ebs-resources-protected-by-piano di backup

Assicurati che i volumi di Amazon Elastic Block Store (AmazonEBS) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il EBS volume Amazon non è coperto da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

ec2- -piano resources-protected-by-backup

Assicurati che le istanze di Amazon Elastic Compute Cloud (AmazonEC2) siano protette da un piano di backup. La regola è NON _ COMPLIANT se l'EC2istanza Amazon non è coperta da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

efs-in-backup-plan

Assicurati che i file system Amazon Elastic File System (AmazonEFS) vengano aggiunti nei piani di backup di AWS Backup. La regola è NON _ COMPLIANT se i EFS file system non sono inclusi nei piani di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

efs-resources-protected-by-piano di backup

Assicurati che i file system Amazon Elastic File System (AmazonEFS) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il EFS File System non è coperto da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

elasticache-redis-cluster-automatic-controllo di backup

Verifica se i cluster Amazon ElastiCache Redis hanno attivato il backup automatico. La regola è NON _ COMPLIANT se il cluster SnapshotRetentionLimit for Redis è inferiore al parametro. SnapshotRetentionPeriod Ad esempio: se il parametro è 15, la regola non è conforme se è compresa tra 0 e 15. snapshotRetentionPeriod
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

fsx-resources-protected-by-piano di backup

Assicurati che Amazon FSx File System sia protetto da un piano di backup. La regola è NON _ COMPLIANT se l'Amazon FSx File System non è coperto da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

neptune-cluster-backup-retention-controlla

Assicurati che un periodo di conservazione del cluster Amazon Neptune DB sia impostato su un numero specifico di giorni. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore al valore specificato dal parametro.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

rds-in-backup-plan

Assicurati che i database Amazon Relational Database Service (RDSAmazon) siano presenti nei piani di AWS Backup. La regola è NON _ COMPLIANT se RDS i database Amazon non sono inclusi in nessun piano AWS di Backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

rds-resources-protected-by-piano di backup

Assicurati che le istanze di Amazon Relational Database Service (RDSAmazon) siano protette da un piano di backup. La regola è NON _ COMPLIANT se l'istanza di Amazon RDS Database non è coperta da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

redshift-backup-enabled

Assicurati che le istantanee automatiche di Amazon Redshift siano abilitate per i cluster. La regola è NON _ COMPLIANT se il valore di automatedSnapshotRetention Period è maggiore MaxRetentionPeriod o minore MinRetentionPeriod o il valore è 0.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- -piano resources-protected-by-backup

Assicurati che i bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) siano protetti da un piano di backup. La regola è NON _ COMPLIANT se il bucket Amazon S3 non è coperto da un piano di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

db-instance-backup-enabled

Assicurati che i backup delle istanze RDS DB siano abilitati. Facoltativamente, la regola verifica il periodo di retention dei backup e la finestra di backup.
10.3.3 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
10.3.4 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudfront-origin-access-identity-abilitato

Assicurati che CloudFront la distribuzione con il tipo Amazon S3 Origin abbia configurato l'identità di accesso all'origine (OAI). La regola è NON _ COMPLIANT se la CloudFront distribuzione è supportata da S3 e qualsiasi tipo di origine non è OAI configurato o l'origine non è un bucket S3.
10.3.4 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudfront-s3- origin-access-control-enabled

Assicurati che una CloudFront distribuzione Amazon con un tipo Amazon Simple Storage Service (Amazon S3) Origin abbia il controllo OAC dell'accesso all'origine () abilitato. La regola è NON _ COMPLIANT per CloudFront le distribuzioni con origini Amazon S3 che non sono abilitateOAC.
10.3.4 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- bucket-default-lock-enabled

Assicurati che il bucket S3 abbia il blocco abilitato, per impostazione predefinita. La regola è NON _ COMPLIANT se il blocco non è abilitato.
10.3.4 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

s3- bucket-versioning-enabled

Assicurati che il controllo delle versioni sia abilitato per i tuoi bucket S3. Facoltativamente, la regola verifica se l'MFAeliminazione è abilitata per i bucket S3.
10.3.4 I registri di controllo sono protetti dalla distruzione e dalle modifiche non autorizzate. (- -v4.0) PCI DSS

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.4.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.4.1.1 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.4.2 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.4.3 I registri di controllo vengono esaminati per identificare anomalie o attività sospette. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.5.1 La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0)

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
10.5.1 La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
10.5.1 La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
10.5.1 La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
10.5.1 La cronologia dei registri di controllo viene conservata e disponibile per l'analisi. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
10.6.3 I meccanismi di sincronizzazione temporale supportano impostazioni temporali coerenti su tutti i sistemi. (PCI- DSS -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.7.1 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
10.7.2 I guasti dei sistemi critici di controllo della sicurezza vengono rilevati, segnalati e risolti tempestivamente. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
11.5.2 Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
11.5.2 Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
11.5.2 Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
11.5.2 Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-settings-check

Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate.
11.5.2 Le intrusioni di rete e le modifiche impreviste ai file vengono rilevate e risolte. (PCI- DSS -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
11.6.1 Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
11.6.1 Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
11.6.1 Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
11.6.1 Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0)

cloudwatch-alarm-settings-check

Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate.
11.6.1 Le modifiche non autorizzate sulle pagine di pagamento vengono rilevate e risolte. (PCI- DSS -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
12.10.5 Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
12.10.5 Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
12.10.5 Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
12.10.5 Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS

cloudwatch-alarm-settings-check

Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate.
12.10.5 Gli incidenti di sicurezza sospetti e confermati che potrebbero avere un impatto su CDE vengono risolti immediatamente. (- -v4.0) PCI DSS

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
12.4.2.1 PCIDSSla conformità è gestita. (PCI- DSS -v4.0)

service-catalog-shared-within-organizzazione

Assicurati che AWS Service Catalog condivida i portafogli con un'organizzazione (una raccolta di AWS account considerati come una singola unità) quando l'integrazione è abilitata con AWS Organizations. La regola è NON _ COMPLIANT se il valore `Type` di una condivisione è ``. ACCOUNT
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-security-policy-check

Assicurati che CloudFront le distribuzioni Amazon utilizzino una politica di sicurezza minima e una suite di crittografia di TLSv1 0,2 o superiore per le connessioni dei visualizzatori. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se è inferiore a .2_2018. minimumProtocolVersion TLSv1
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-sni-enabled

Assicurati che CloudFront le distribuzioni Amazon utilizzino un SSL certificato personalizzato e siano configurate per l'utilizzo per SNI soddisfare HTTPS le richieste. La regola è NON _ COMPLIANT se è associato un SSL certificato personalizzato ma il metodo di SSL supporto è un indirizzo IP dedicato.
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

transfer-family-server-no-ftp

Assicurati che un server creato con AWS Transfer Family non venga utilizzato FTP per la connessione agli endpoint. La regola è NON _ COMPLIANT se il protocollo del server per la connessione agli endpoint è FTP -enabled.
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
2.2.5 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

dms-redis-tls-enabled

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata.
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

dax-tls-endpoint-encryption

Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

msk-in-cluster-node-richiedere-tls

Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster.
2.2.7 I componenti del sistema sono configurati e gestiti in modo sicuro. (PCI- DSS -v4.0)

dms-endpoint-ssl-configured

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione.
3.2.1 L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
3.2.1 L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
3.2.1 L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
3.2.1 L'archiviazione dei dati dell'account è ridotta al minimo. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
3.3.1.1 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
3.3.1.1 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
3.3.1.1 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
3.3.1.1 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
3.3.1.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
3.3.1.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
3.3.1.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
3.3.1.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
3.3.2 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
3.3.2 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
3.3.2 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
3.3.2 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
3.3.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ec2- volume-inuse-check

Assicuratevi che EBS i volumi siano collegati alle istanze. EC2 Facoltativamente, assicuratevi che EBS i volumi siano contrassegnati per l'eliminazione quando un'istanza viene terminata.
3.3.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

ecr-private-lifecycle-policy-configurato

Assicurati che un repository privato di Amazon Elastic Container Registry (ECR) abbia almeno una policy del ciclo di vita configurata. La regola è NON _ COMPLIANT se non è configurata alcuna politica del ciclo di vita per il repository privato. ECR
3.3.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

dynamodb-pitr-enabled

Assicurati che point-in-time recovery (PITR) sia abilitato per le tabelle Amazon DynamoDB. La regola è NON _ COMPLIANT se non PITR è abilitata per le tabelle DynamoDB.
3.3.3 I dati di autenticazione sensibili (SAD) non vengono archiviati dopo l'autorizzazione. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

athena-workgroup-encrypted-at-riposo

Assicurati che un gruppo di lavoro Amazon Athena sia crittografato quando è inattivo. La regola è NON _ COMPLIANT se la crittografia dei dati inattivi non è abilitata per un gruppo di lavoro Athena.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

neptune-cluster-snapshot-encrypted

Assicurati che un cluster Amazon Neptune DB abbia istantanee crittografate. La regola è NON _ COMPLIANT se un cluster Neptune non ha istantanee crittografate.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

redshift-cluster-kms-enabled

Assicurati che i cluster Amazon Redshift utilizzino una AWS chiave specifica del Key Management Service (AWS KMS) per la crittografia. La regola è COMPLIANT se la crittografia è abilitata e il cluster è crittografato con la chiave fornita nel kmsKeyArn parametro. La regola è NON _ COMPLIANT se il cluster non è crittografato o crittografato con un'altra chiave.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

codebuild-project-artifact-encryption

Assicurati che un AWS CodeBuild progetto abbia la crittografia abilitata per tutti i suoi artefatti. La regola è NON _ COMPLIANT se 'encryptionDisabled' è impostato su «true» per qualsiasi configurazione di artefatto principale o secondaria (se presente).
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

codebuild-project-s3 registri crittografati

Assicurati che un AWS CodeBuild progetto configurato con Amazon S3 Logs abbia la crittografia abilitata per i log. La regola è NON _ COMPLIANT se '' è impostato su encryptionDisabled 'true' in un S3 di un progetto. LogsConfig CodeBuild
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

dax-encryption-enabled

Assicurati che i cluster Amazon DynamoDB Accelerator DAX () siano crittografati. La regola è NON _ COMPLIANT se un DAX cluster non è crittografato.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

eks-secrets-encrypted

Assicurati che i cluster Amazon Elastic Kubernetes Service siano configurati per avere i segreti Kubernetes crittografati utilizzando le chiavi Key Management Service (). AWS KMS
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

api-gw-cache-enabled-e crittografato

Assicurati che tutti i metodi nelle fasi di Amazon API Gateway abbiano la cache abilitata e la cache sia crittografata. La regola è NON _ COMPLIANT se un metodo in una fase di Amazon API Gateway non è configurato per la cache o la cache non è crittografata.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

docdb-cluster-encrypted

Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon DocumentDB (con compatibilità con MongoDB). La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

dynamodb-table-encrypted-kms

Assicurati che la tabella Amazon DynamoDB sia crittografata AWS con Key Management Service (). KMS La regola è NON _ COMPLIANT se la tabella Amazon DynamoDB non è crittografata con. AWS KMS La regola è anche NON _ COMPLIANT se la AWS KMS chiave crittografata non è presente nel parametro kmsKeyArns di input.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

dynamodb-table-encryption-enabled

Assicurati che le tabelle Amazon DynamoDB siano crittografate e ne controlla lo stato. La regola è COMPLIANT se lo stato è abilitato o abilitato.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

codebuild-project-envvar-awscred-controlla

Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

eks-cluster-secrets-encrypted

Assicurati che EKS i cluster Amazon non siano configurati per utilizzare i segreti di Kubernetes crittografati. AWS KMS La regola è NON _ COMPLIANT se un EKS cluster non dispone di una encryptionConfig risorsa o se encryptionConfig non nomina i segreti come risorsa.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

kinesis-stream-encrypted

Assicurati che gli stream di Amazon Kinesis siano crittografati quando sono inattivi con crittografia lato server. La regola è NON _ COMPLIANT per uno stream Kinesis se 'StreamEncryption' non è presente.
3.5.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

neptune-cluster-encrypted

Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon Neptune DB. La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata.
3.5.1.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.5.1.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.5.1.1 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

neptune-cluster-snapshot-public-proibito

Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
3.5.1.3 Il numero di conto principale (PAN) è protetto ovunque sia memorizzato. (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
3.6.1 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.6.1 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.6.1 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.6.1.2 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.6.1.2 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.6.1.2 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.6.1.3 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.6.1.3 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.6.1.3 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.6.1.4 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.6.1.4 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.6.1.4 Le chiavi crittografiche utilizzate per proteggere i dati degli account archiviati sono protette. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.7.1 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-certificate-rsa-check

Assicurati che RSA i certificati gestiti da AWS Certificate Manager (ACM) abbiano una lunghezza di chiave di almeno «2048» bit. La regola è NON _ COMPLIANT se la lunghezza minima della chiave è inferiore a 2048 bit.
3.7.1 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.7.1 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.7.1 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.7.2 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.7.2 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.7.2 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.7.4 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.7.4 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.7.4 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.7.6 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.7.6 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.7.6 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
3.7.7 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
3.7.7 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
3.7.7 Laddove la crittografia viene utilizzata per proteggere i dati degli account archiviati, vengono definiti e implementati processi e procedure di gestione delle chiavi che coprono tutti gli aspetti del ciclo di vita delle chiavi. (- -v4.0) PCI DSS

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dms-redis-tls-enabled

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata.
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dax-tls-endpoint-encryption

Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

msk-in-cluster-node-richiedere-tls

Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster.
4.2.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dms-endpoint-ssl-configured

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

acm-pca-root-ca-disabilitato

Assicurarsi che AWS Private Certificate Authority (CA AWS privata) disponga di una CA root disabilitata. La regola è NON _ COMPLIANT per root CAs con uno stato diversoDISABLED.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dms-redis-tls-enabled

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dax-tls-endpoint-encryption

Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

msk-in-cluster-node-richiedere-tls

Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster.
4.2.1.1 PANè protetto con una crittografia avanzata durante la trasmissione. (PCI- DSS -v4.0)

dms-endpoint-ssl-configured

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
5.3.4 I meccanismi e i processi antimalware sono attivi, mantenuti e monitorati. (PCI- DSS -v4.0)

cw-loggroup-retention-period-dai un'occhiata

Assicurati che un periodo di CloudWatch LogGroup conservazione di Amazon sia impostato su più di 365 giorni oppure un periodo di conservazione specificato. La regola è NON _ COMPLIANT se il periodo di conservazione è inferiore a MinRetentionTime, se specificato, oppure 365 giorni.
6.3.3 Le vulnerabilità di sicurezza vengono identificate e risolte. (PCI- DSS -v4.0)

lambda-function-settings-check

Assicurati che le impostazioni della funzione AWS Lambda per runtime, ruolo, timeout e dimensione della memoria corrispondano ai valori previsti. La regola ignora le funzioni con il tipo di pacchetto 'Image' e le funzioni con runtime impostato su 'OS-only Runtime'. La regola è NON _ COMPLIANT se le impostazioni della funzione Lambda non corrispondono ai valori previsti.
6.3.3 Le vulnerabilità di sicurezza vengono identificate e risolte. (PCI- DSS -v4.0)

eks-cluster-oldest-supported-versione

Assicurati che un cluster Amazon Elastic Kubernetes Service EKS () non esegua la versione più vecchia supportata. La regola è NON _ COMPLIANT se un EKS cluster esegue la versione più vecchia supportata (uguale al parametro ''oldestVersionSupported).
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

wafv2- webacl-not-empty

Assicurarsi che un WAFv2 Web ACL contenga WAF regole o WAF gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene WAF regole o gruppi di WAF regole.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

wafv2- rulegroup-not-empty

Assicuratevi che i gruppi di WAFv2 regole contengano regole. La regola è NON _ COMPLIANT se non ci sono regole in un gruppo di WAFv2 regole.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
6.4.1 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

wafv2- webacl-not-empty

Assicurarsi che un WAFv2 Web ACL contenga WAF regole o WAF gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene WAF regole o gruppi di WAF regole.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

wafv2- rulegroup-not-empty

Assicuratevi che i gruppi di WAFv2 regole contengano regole. La regola è NON _ COMPLIANT se non ci sono regole in un gruppo di WAFv2 regole.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
6.4.2 Le applicazioni web rivolte al pubblico sono protette dagli attacchi. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
6.5.5 Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0)

codedeploy-lambda-allatonce-traffic-shift-disabilitato

Assicurati che il gruppo di distribuzione per Lambda Compute Platform non utilizzi la configurazione di distribuzione predefinita. La regola è NON _ COMPLIANT se il gruppo di distribuzione utilizza la configurazione di distribuzione '. CodeDeployDefault LambdaAllAtOnce'.
6.5.5 Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0)

codepipeline-deployment-count-check

Assicurati che la prima fase di distribuzione di AWS CodePipeline esegua almeno una distribuzione. Questo serve a monitorare l'attività di implementazione continua, garantire aggiornamenti regolari e identificare le pipeline inattive o sottoutilizzate, che possono segnalare problemi nel processo di sviluppo o implementazione. Facoltativamente, assicurati che ciascuna delle fasi rimanenti successive venga distribuita su un numero di implementazioni superiore a quello specificato (). deploymentLimit
6.5.6 Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0)

codedeploy-lambda-allatonce-traffic-shift-disabilitato

Assicurati che il gruppo di distribuzione per Lambda Compute Platform non utilizzi la configurazione di distribuzione predefinita. La regola è NON _ COMPLIANT se il gruppo di distribuzione utilizza la configurazione di distribuzione '. CodeDeployDefault LambdaAllAtOnce'.
6.5.6 Le modifiche a tutti i componenti del sistema vengono gestite in modo sicuro. (PCI- DSS -v4.0)

codepipeline-deployment-count-check

Assicurati che la prima fase di distribuzione di AWS CodePipeline esegua almeno una distribuzione. Questo serve a monitorare l'attività di implementazione continua, garantire aggiornamenti regolari e identificare le pipeline inattive o sottoutilizzate, che possono segnalare problemi nel processo di sviluppo o implementazione. Facoltativamente, assicurati che ciascuna delle fasi rimanenti successive venga distribuita su un numero di implementazioni superiore a quello specificato (). deploymentLimit
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.2.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.2.2 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
7.2.4 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

secretsmanager-secret-unused

Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.2.5 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
7.2.5.1 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

secretsmanager-secret-unused

Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni.
7.2.6 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.2.6 L'accesso ai componenti e ai dati del sistema è definito e assegnato in modo appropriato. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.3.1 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.3.2 L'accesso ai componenti e ai dati del sistema viene gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
7.3.3 L'accesso ai componenti e ai dati del sistema è gestito tramite uno o più sistemi di controllo degli accessi. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
8.2.1 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.1 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- no-amazon-key-pair

Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- no-amazon-key-pair

Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

codebuild-project-envvar-awscred-controlla

Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
8.2.2 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

secretsmanager-secret-unused

Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni.
8.2.4 L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.4 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- no-amazon-key-pair

Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair.
8.2.5 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.5 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- no-amazon-key-pair

Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair.
8.2.6 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

secretsmanager-secret-unused

Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni.
8.2.7 L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
8.2.7 L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
8.2.7 L'identificazione degli utenti e gli account correlati per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
8.2.7 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2-imdsv2-check

Assicurati che la versione dei metadati dell'istanza Amazon Elastic Compute Cloud (AmazonEC2) sia configurata con Instance Metadata Service versione 2 (). IMDSv2 La regola è NON _ COMPLIANT se HttpTokens è impostata su opzionale.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

autoscaling-launchconfig-requires-imdsv2

Assicurati che solo IMDSv2 sia abilitato. Questa regola è NON _ COMPLIANT se la versione dei metadati non è inclusa nella configurazione di avvio o se entrambi i metadati V1 e V2 sono abilitati.
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
8.2.8 L'identificazione degli utenti e i relativi account per utenti e amministratori sono gestiti rigorosamente durante l'intero ciclo di vita degli account. (- -v4.0) PCI DSS

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
8.3.10.1 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

access-keys-rotated

Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.
8.3.10.1 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.3.10.1 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
8.3.11 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.3.11 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

ec2- no-amazon-key-pair

Assicurati che le istanze Amazon Elastic Compute Cloud (EC2) in esecuzione non vengano avviate utilizzando coppie di chiavi Amazon. La regola è NON _ COMPLIANT se un'EC2istanza in esecuzione viene lanciata con una key pair.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

athena-workgroup-encrypted-at-riposo

Assicurati che un gruppo di lavoro Amazon Athena sia crittografato quando è inattivo. La regola è NON _ COMPLIANT se la crittografia dei dati inattivi non è abilitata per un gruppo di lavoro Athena.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

neptune-cluster-snapshot-encrypted

Assicurati che un cluster Amazon Neptune DB abbia istantanee crittografate. La regola è NON _ COMPLIANT se un cluster Neptune non ha istantanee crittografate.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

redshift-cluster-kms-enabled

Assicurati che i cluster Amazon Redshift utilizzino una AWS chiave specifica del Key Management Service (AWS KMS) per la crittografia. La regola è COMPLIANT se la crittografia è abilitata e il cluster è crittografato con la chiave fornita nel kmsKeyArn parametro. La regola è NON _ COMPLIANT se il cluster non è crittografato o crittografato con un'altra chiave.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

codebuild-project-artifact-encryption

Assicurati che un AWS CodeBuild progetto abbia la crittografia abilitata per tutti i suoi artefatti. La regola è NON _ COMPLIANT se 'encryptionDisabled' è impostato su «true» per qualsiasi configurazione di artefatto principale o secondaria (se presente).
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

codebuild-project-s3 registri crittografati

Assicurati che un AWS CodeBuild progetto configurato con Amazon S3 Logs abbia la crittografia abilitata per i log. La regola è NON _ COMPLIANT se '' è impostato su encryptionDisabled 'true' in un S3 di un progetto. LogsConfig CodeBuild
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

dax-encryption-enabled

Assicurati che i cluster Amazon DynamoDB Accelerator DAX () siano crittografati. La regola è NON _ COMPLIANT se un DAX cluster non è crittografato.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

dms-redis-tls-enabled

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) per gli archivi dati Redis siano abilitati per TLS /la SSL crittografia dei dati comunicati con altri endpoint. La regola è NON _ COMPLIANT se la SSL crittografiaTLS/non è abilitata.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

eks-secrets-encrypted

Assicurati che i cluster Amazon Elastic Kubernetes Service siano configurati per avere i segreti Kubernetes crittografati utilizzando le chiavi Key Management Service (). AWS KMS
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

api-gw-cache-enabled-e crittografato

Assicurati che tutti i metodi nelle fasi di Amazon API Gateway abbiano la cache abilitata e la cache sia crittografata. La regola è NON _ COMPLIANT se un metodo in una fase di Amazon API Gateway non è configurato per la cache o la cache non è crittografata.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

docdb-cluster-encrypted

Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon DocumentDB (con compatibilità con MongoDB). La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

dynamodb-table-encrypted-kms

Assicurati che la tabella Amazon DynamoDB sia crittografata AWS con Key Management Service (). KMS La regola è NON _ COMPLIANT se la tabella Amazon DynamoDB non è crittografata con. AWS KMS La regola è anche NON _ COMPLIANT se la AWS KMS chiave crittografata non è presente nel parametro kmsKeyArns di input.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

dynamodb-table-encryption-enabled

Assicurati che le tabelle Amazon DynamoDB siano crittografate e ne controlla lo stato. La regola è COMPLIANT se lo stato è abilitato o abilitato.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

cloudfront-no-deprecated-ssl-protocolli

Assicurati che CloudFront le distribuzioni non utilizzino SSL protocolli obsoleti per la HTTPS comunicazione tra CloudFront edge location e origini personalizzate. Questa regola è NON _ COMPLIANT per una CloudFront distribuzione se esiste un '' include' '. OriginSslProtocols SSLv3
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

cloudfront-traffic-to-origin-crittografato

Assicurati che CloudFront le distribuzioni Amazon crittografino il traffico verso origini personalizzate. La regola è NON _ COMPLIANT if' 'è 'http-only' o if'OriginProtocolPolicy' è 'match-viewer' e '' è 'allow-all'. OriginProtocolPolicy ViewerProtocolPolicy
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

cloudfront-viewer-policy-https

Assicurati che le tue CloudFront distribuzioni Amazon utilizzino HTTPS (direttamente o tramite un reindirizzamento). La regola è NON _ COMPLIANT se il valore di ViewerProtocolPolicy è impostato su 'allow-all' per o per. DefaultCacheBehavior CacheBehaviors
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

codebuild-project-envvar-awscred-controlla

Assicurati che il progetto DOES NOT contenga le variabili di ambiente AWS_ACCESS _ KEY _ID e AWS_SECRET _ _. ACCESS KEY La regola è NON _ COMPLIANT quando le variabili di ambiente del progetto contengono credenziali in chiaro.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

dax-tls-endpoint-encryption

Assicurati che il tuo cluster Amazon DynamoDB Accelerator DAX () sia impostato su. ClusterEndpointEncryptionType TLS La regola è NON _ COMPLIANT se un DAX cluster non è crittografato da Transport Layer Security (). TLS
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

eks-cluster-secrets-encrypted

Assicurati che EKS i cluster Amazon non siano configurati per utilizzare i segreti di Kubernetes crittografati. AWS KMS La regola è NON _ COMPLIANT se un EKS cluster non dispone di una encryptionConfig risorsa o se encryptionConfig non nomina i segreti come risorsa.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

kinesis-stream-encrypted

Assicurati che gli stream di Amazon Kinesis siano crittografati quando sono inattivi con crittografia lato server. La regola è NON _ COMPLIANT per uno stream Kinesis se 'StreamEncryption' non è presente.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

msk-in-cluster-node-richiedere-tls

Assicurati che un MSK cluster Amazon applichi la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON _ COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster.
8.3.2 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

neptune-cluster-encrypted

Assicurati che la crittografia dello storage sia abilitata per i tuoi cluster Amazon Neptune DB. La regola è NON _ COMPLIANT se la crittografia dello storage non è abilitata.
8.3.2 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

dms-endpoint-ssl-configured

Assicurati che gli endpoint AWS Database Migration Service (AWS DMS) siano configurati con una SSL connessione. La regola è NON _ COMPLIANT se AWS DMS non è configurata una SSL connessione.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

s3- bucket-blacklisted-actions-prohibited

Assicurati che una policy sui bucket di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) non consenta azioni bloccate a livello di bucket e a livello di oggetto sulle risorse del bucket per i principali di altri account. AWS Ad esempio, la regola verifica che la policy del bucket di Amazon S3 non consenta a un altro AWS account di eseguire azioni s3: GetBucket * e s3: DeleteObject su qualsiasi oggetto nel bucket. La regola è NON _ COMPLIANT se le azioni bloccate sono consentite dalla policy sui bucket di Amazon S3.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

s3- bucket-policy-not-more -permissivo

Assicurati che le policy relative ai bucket di Amazon Simple Storage Service (S3) non consentano altre autorizzazioni tra account oltre alla policy del bucket di controllo di Amazon S3 fornita.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

shield-drt-access

Assicurati che lo Shield Response Team (SRT) possa accedere al tuo AWS account. La regola è NON _ COMPLIANT se AWS Shield Advanced è abilitato ma il ruolo per SRT l'accesso non è configurato.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

iam-policy-in-use

Assicurati che una IAM policy ARN sia associata a un IAM utente o a un gruppo con uno o più IAM utenti o a un IAM ruolo con una o più entità attendibili.
8.3.4 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

neptune-cluster-iam-database-autenticazione

Assicurati che in un cluster Amazon Neptune sia abilitata l'autenticazione del AWS database Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un cluster Amazon Neptune non IAM ha l'autenticazione del database abilitata.
8.3.4 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

rds-cluster-iam-authentication-abilitato

Assicurati che in un cluster Amazon Relational Database Service (RDSAmazon) AWS sia abilitata l'autenticazione Identity and Access Management IAM (). La regola è NON _ COMPLIANT se un Amazon RDS Cluster non ha IAM l'autenticazione abilitata.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

ec2- instance-profile-attached

Assicurati che a un'EC2istanza sia associato un profilo AWS Identity and Access Management (IAM). La regola è NON _ COMPLIANT se non è associato alcun IAM profilo all'EC2istanza.
8.3.4 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
8.3.4 Viene stabilita e gestita un'autenticazione avanzata per utenti e amministratori. (PCI- DSS -v4.0)

rds-instance-iam-authentication-abilitato

Assicurati che un'istanza di Amazon Relational Database Service (RDSAmazon) AWS abbia l'autenticazione Identity and Access Management IAM () abilitata. La regola è NON _ COMPLIANT se un'RDSistanza Amazon non ha IAM l'autenticazione abilitata.
8.3.5 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

access-keys-rotated

Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.
8.3.5 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.3.5 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
8.3.7 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

access-keys-rotated

Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.
8.3.7 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.3.7 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
8.3.9 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

access-keys-rotated

Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.
8.3.9 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.3.9 Viene stabilita e gestita un'autenticazione forte per utenti e amministratori. (PCI- DSS -v4.0)

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
8.4.1 L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
8.4.2 L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
8.4.3 L'autenticazione a più fattori (MFA) è implementata per proteggere l'accesso a. CDE (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
8.6.3 L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0)

access-keys-rotated

Assicurati che le chiavi di IAM accesso attive vengano ruotate (modificate) entro il numero di giorni specificato in Age. maxAccessKey La regola è NON _ COMPLIANT se le chiavi di accesso non vengono ruotate entro il periodo di tempo specificato. Il valore predefinito è 90 giorni.
8.6.3 L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0)

secretsmanager-scheduled-rotation-success-dai un'occhiata

Assicuratevi che AWS i segreti di Secrets Manager ruotino correttamente in base alla pianificazione di rotazione. Secrets Manager calcola la data in cui dovrebbe avvenire la rotazione. La regola è NON _ COMPLIANT se la data passa e il segreto non viene ruotato.
8.6.3 L'uso degli account di applicazione e di sistema e dei relativi fattori di autenticazione è gestito rigorosamente. (PCI- DSS -v4.0)

secretsmanager-secret-periodic-rotation

Assicurati che AWS i segreti di Secrets Manager siano stati ruotati nel numero di giorni specificato nell'ultimo numero di giorni specificato. La regola è NON _ COMPLIANT se un segreto non è stato ruotato per un numero di giorni superiore a quello di maxDaysSince rotazione. Il valore predefinito è 90 giorni.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

neptune-cluster-snapshot-public-proibito

Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
A1.1.2 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

api-gw-endpoint-type-controlla

Assicurati che Amazon API Gateway APIs sia del tipo specificato nel parametro della regola 'endpointConfigurationType'. La regola restituisce NON _ COMPLIANT se REST API non corrisponde al tipo di endpoint configurato nel parametro della regola.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

cloudfront-associated-with-waf

Assicurati che CloudFront le distribuzioni Amazon siano associate a Web Application Firewall (WAF) o WAFv2 Web Access Control List (ACLs). La regola è NON _ COMPLIANT se una CloudFront distribuzione non è associata a un WAF webACL.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

cloudfront-custom-ssl-certificate

Assicurati che il certificato associato a una CloudFront distribuzione Amazon non sia il SSL certificato predefinito. La regola è NON _ COMPLIANT se una CloudFront distribuzione utilizza il SSL certificato predefinito.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

netfw-policy-default-action-fragment-packets

Assicurati che una policy AWS Network Firewall sia configurata con un'azione predefinita stateless definita dall'utente per i pacchetti frammentati. La regola è NON _ COMPLIANT se l'azione predefinita senza stato per i pacchetti frammentati non corrisponde all'azione predefinita definita dall'utente.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

rds-db-security-group-non consentito

Assicurati che i gruppi di sicurezza DB di Amazon Relational Database Service (RDSAmazon) siano quelli predefiniti. La regola è NON _ COMPLIANT se ci sono gruppi di sicurezza DB che non sono il gruppo di sicurezza DB predefinito.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

ec2- -attach-disabilitato transit-gateway-auto-vpc

Assicurati che i gateway di transito di Amazon Elastic Compute Cloud (AmazonEC2) non abbiano «AutoAcceptSharedAttachments» abilitato. La regola è NON _ COMPLIANT per un Transit Gateway se 'AutoAcceptSharedAttachments' è impostato su 'abilita'.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

eks-endpoint-no-public-accesso

Assicurati che l'endpoint Amazon Elastic Kubernetes Service (EKSAmazon) non sia accessibile al pubblico. La regola è NON _ COMPLIANT se l'endpoint è accessibile pubblicamente.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

restricted-ssh

Nota: per questa regola, l'identificatore della regola (INCOMING_ SSH _DISABLED) e il nome della regola (restricted-ssh) sono diversi. Assicurati che il SSH traffico in entrata per i gruppi di sicurezza sia accessibile. La regola è COMPLIANT se gli indirizzi IP del SSH traffico in entrata nei gruppi di sicurezza sono limitati (CIDRdiversi da 0.0.0.0/0 o: :/0). Altrimenti, _. NON COMPLIANT
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

appsync-associated-with-waf

Assicurati che AWS AppSync APIs siano associati agli elenchi di controllo degli accessi AWS WAFv2 Web ()ACLs. La regola è NON _ COMPLIANT per un AWS AppSync API se non è associata a un webACL.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

codebuild-project-source-repo-controllo url

Assicurati che l'archivio di origine di Bitbucket URL DOES NOT contenga o meno le credenziali di accesso. La regola è NON _ COMPLIANT se URL contiene informazioni di accesso e in caso contrario. COMPLIANT
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

elb-acm-certificate-required

Assicurati che i Classic Load Balancer utilizzino i SSL certificati forniti da AWS Certificate Manager. Per utilizzare questa regola, usa un HTTPS listener SSL or con Classic Load Balancer. Nota: questa regola è applicabile solo ai Classic Load Balancer. Questa regola non verifica Application Load Balancer e Network Load Balancer.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

nacl-no-unrestricted-ssh-rdp

Assicuratevi che le porte predefinite per il traffico SSH /in RDP ingresso per le liste di controllo degli accessi alla rete (NACLs) siano limitate. La regola è NON _ COMPLIANT se una voce NACL in entrata consente una sorgente TCP o un UDP CIDR blocco per le porte 22 o 3389.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

waf-global-webacl-not-vuoto

Assicuratevi che un Web WAF globale ACL contenga alcune WAF regole o gruppi di regole. Questa regola è NON _ COMPLIANT se un Web ACL non contiene alcuna WAF regola o gruppo di regole.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

waf-global-rulegroup-not-vuoto

Assicuratevi che un gruppo di regole AWS WAF Classic contenga alcune regole. La regola è NON _ COMPLIANT se non ci sono regole presenti all'interno di un gruppo di regole.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

waf-global-rule-not-vuoto

Assicurati che una regola AWS WAF globale contenga alcune condizioni. La regola è NON _ COMPLIANT se non sono presenti condizioni all'interno della regola WAF globale.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

ec2- -tutti client-vpn-not-authorize

Assicurati che le regole di VPN autorizzazione AWS del client non autorizzino l'accesso alla connessione per tutti i client. La regola è NON _ COMPLIANT se 'AccessAll' è presente e impostato su true.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

internet-gateway-authorized-vpc-solo

Assicurati che i gateway Internet siano collegati a un cloud privato virtuale autorizzato (AmazonVPC). La regola è NON _ COMPLIANT se i gateway Internet sono collegati a un sito non autorizzato. VPC
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
A1.1.3 I fornitori di servizi multi-tenant proteggono e separano tutti gli ambienti e i dati dei clienti. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

api-gwv2- access-logs-enabled

Assicurati che le fasi di Amazon API Gateway V2 abbiano la registrazione degli accessi abilitata. La regola è NON _ COMPLIANT se 'accessLogSettings' non è presente nella configurazione Stage.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

cloudfront-accesslogs-enabled

Assicurati che CloudFront le distribuzioni Amazon siano configurate per fornire log di accesso a un bucket Amazon S3. La regola è NON _ COMPLIANT se per una CloudFront distribuzione non è configurata la registrazione.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

cloudtrail-security-trail-enabled

Assicurati che esista almeno un AWS CloudTrail percorso definito con le migliori pratiche di sicurezza. Questa regola si COMPLIANT applica se esiste almeno un percorso che soddisfa tutti i seguenti requisiti:
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

neptune-cluster-cloudwatch-log-abilitato all'esportazione

Assicurati che in un cluster CloudWatch Amazon Neptune sia abilitata l'esportazione dei log per i log di controllo. La regola è NON _ COMPLIANT se un cluster Neptune non ha l'esportazione dei log abilitata per CloudWatch i log di controllo.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

ecs-task-definition-log-configurazione

Assicurati che logConfiguration sia impostato su ECS Task Definitions attive. Questa regola è NON _ COMPLIANT se per un elemento attivo ECSTaskDefinition non è definita la logConfiguration risorsa o se il valore per logConfiguration è nullo in almeno una definizione di contenitore.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (CLOUD_ TRAIL _ENABLED) e il nome della regola (cloudtrail-enabled) sono diversi. Assicurati che nel tuo account sia AWS CloudTrail abilitato un percorso. AWS La regola è NON _ COMPLIANT se un trail non è abilitato. Facoltativamente, la regola controlla uno specifico bucket S3, un argomento di Amazon Simple Notification Service (AmazonSNS) e CloudWatch un gruppo di log.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

multi-region-cloudtrail-enabled

Nota: per questa regola, l'identificatore della regola (MULTI_ _ _ _ REGION CLOUD TRAIL _ENABLED) e il nome della regola (multi-region-cloudtrail-enabled) sono diversi. Assicurati che esista almeno una regione AWS CloudTrail multipla. La regola è NON _ COMPLIANT se i percorsi non corrispondono ai parametri di input. La regola è NON _ COMPLIANT se il ExcludeManagementEventSources campo non è vuoto o se AWS CloudTrail è configurato per escludere eventi di gestione come AWS KMS eventi o API eventi Amazon RDS Data.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

appsync-logging-enabled

Assicurati che an AWS AppSync API abbia la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione non è abilitata, oppure 'fieldLogLevel' non è né l'una né l'altraERROR. ALL
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

waf-classic-logging-enabled

Assicurati che la registrazione sia abilitata nelle AWS WAF classiche liste globali di controllo degli accessi Web (web). ACLs La regola è NON _ COMPLIANT per un Web globaleACL, se non ha la registrazione abilitata.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

mq-cloudwatch-audit-logging-abilitato

Assicurati che i broker Amazon MQ abbiano abilitato la registrazione CloudWatch di audit di Amazon. La regola è NON _ COMPLIANT se un broker non ha abilitato la registrazione di controllo.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

mq-cloudwatch-audit-log-abilitato

Assicurati che un broker Amazon MQ abbia abilitato la registrazione di CloudWatch controllo. La regola è NON _ COMPLIANT se il broker non ha abilitato la registrazione di controllo.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

eks-cluster-logging-enabled

Assicurati che un cluster Amazon Elastic Kubernetes Service (EKSAmazon) sia configurato con la registrazione abilitata. La regola è NON _ COMPLIANT se la registrazione per EKS i cluster Amazon non è abilitata per tutti i tipi di log.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

elastic-beanstalk-logs-to- orologio cloud

Assicurati che gli ambienti AWS Elastic Beanstalk siano configurati per inviare log ad Amazon Logs. CloudWatch La regola è NON _ COMPLIANT se il valore di `` è falso. StreamLogs
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

step-functions-state-machine-abilitato alla registrazione

Assicurarsi che la macchina AWS Step Functions abbia la registrazione abilitata. La regola è NON _ COMPLIANT se una macchina a stati non ha la registrazione abilitata o la configurazione di registrazione non è al livello minimo fornito.
A1.2.1 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

netfw-logging-enabled

Assicurati che i firewall AWS Network Firewall abbiano la registrazione abilitata. La regola è NON _ COMPLIANT se un tipo di registrazione non è configurato. Puoi specificare il tipo di registrazione di log che desideri venga verificato dalla regola.
A1.2.3 I fornitori di servizi multi-tenant facilitano la registrazione e la risposta agli incidenti per tutti i clienti. (- -v4.0) PCI DSS

security-account-information-provided

Assicurati di aver fornito le informazioni di contatto di sicurezza per i contatti del tuo AWS account. La regola è NON _ COMPLIANT se non vengono fornite le informazioni di contatto di sicurezza all'interno dell'account.
A3.2.5.1 PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0)

macie-auto-sensitive-data-controllo di scoperta

Assicurati che il rilevamento automatico dei dati sensibili sia abilitato per Amazon Macie. La regola è NON _ COMPLIANT se il rilevamento automatico dei dati sensibili è disabilitato. La regola è APPLICABLE per gli account amministratore e NOT _ APPLICABLE per gli account dei membri.
A3.2.5.1 PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0)

macie-status-check

Assicurati che Amazon Macie sia abilitato nel tuo account per regione. La regola è NON _ COMPLIANT se l'attributo 'status' non è impostato su 'ENABLED'.
A3.2.5.2 PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0)

macie-auto-sensitive-data-controllo di scoperta

Assicurati che il rilevamento automatico dei dati sensibili sia abilitato per Amazon Macie. La regola è NON _ COMPLIANT se il rilevamento automatico dei dati sensibili è disabilitato. La regola è APPLICABLE per gli account amministratore e NOT _ APPLICABLE per gli account dei membri.
A3.2.5.2 PCIDSSl'ambito è documentato e convalidato. (PCI- DSS -v4.0)

macie-status-check

Assicurati che Amazon Macie sia abilitato nel tuo account per regione. La regola è NON _ COMPLIANT se l'attributo 'status' non è impostato su 'ENABLED'.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

cloudwatch-alarm-settings-check

Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
A3.3.1 PCIDSSè incorporato nelle attività business-as-usual (BAU). (PCI- DSS -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

neptune-cluster-snapshot-public-proibito

Assicurati che uno snapshot manuale del cluster DB di Amazon Neptune non sia pubblico. La regola è NON _ COMPLIANT se qualsiasi istantanea del cluster Neptune esistente e nuova è pubblica.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

docdb-cluster-snapshot-public-proibito

Assicurati che le istantanee manuali dei cluster di Amazon DocumentDB non siano pubbliche. La regola è NON _ COMPLIANT se alcune istantanee manuali del cluster di Amazon DocumentDB sono pubbliche.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

backup-recovery-point-manual-eliminazione-disabilitato

Assicurati che a un archivio di backup sia associata una politica basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. La regola è NON _ COMPLIANT se Backup Vault non dispone di policy basate sulle risorse o dispone di policy prive di un'istruzione 'Deny' appropriata (istruzione con autorizzazioni backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

emr-block-public-access

Assicurati che su un account Amazon EMR siano abilitate le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se BlockPublicSecurityGroupRules è falsa o, se è vera, sono elencate le porte diverse dalla porta 22 PermittedPublicSecurityGroupRuleRanges.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

secretsmanager-secret-unused

Assicurati che AWS sia stato effettuato l'accesso ai segreti di Secrets Manager entro un determinato numero di giorni. La regola è NON _ COMPLIANT se non si accede a un segreto da 'unusedForDays' un numero di giorni. Il valore predefinito è 90 giorni.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

s3- -blocchi access-point-public-access

Assicurati che i punti di accesso Amazon S3 abbiano abilitato le impostazioni di blocco dell'accesso pubblico. La regola è NON _ COMPLIANT se le impostazioni di blocco dell'accesso pubblico non sono abilitate per i punti di accesso S3.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

s3- -blocchi account-level-public-access

Assicurati che le impostazioni richieste per il blocco di accesso pubblico siano configurate a livello di account. La regola è NON _ solo COMPLIANT quando i campi impostati di seguito non corrispondono ai campi corrispondenti nell'elemento di configurazione.
A3.4.1 L'accesso logico all'ambiente dei dati del titolare della carta è controllato e gestito. (PCI- DSS -v4.0)

s3- bucket-mfa-delete-enabled

Assicurati che MFA Delete sia abilitato nella configurazione del versionamento del bucket Amazon Simple Storage Service (Amazon S3). La regola è NON _ COMPLIANT se MFA Delete non è abilitato.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

api-gw-xray-enabled

Assicurati che il tracciamento AWS X-Ray sia abilitato su Amazon Gateway. API REST APIs La regola è COMPLIANT se il tracciamento X-Ray è abilitato e NON _ altrimenti. COMPLIANT
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudformation-stack-notification-check

Assicurati che i tuoi CloudFormation stack inviino notifiche di eventi a un SNS argomento di Amazon. Facoltativamente, assicurati che vengano utilizzati SNS gli argomenti Amazon specificati. La regola è NON _ COMPLIANT se gli CloudFormation stack non inviano notifiche.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

ec2- instance-detailed-monitoring-enabled

Assicurati che il monitoraggio dettagliato sia abilitato per le EC2 istanze. La regola è NON _ COMPLIANT se il monitoraggio dettagliato non è abilitato.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-action-check

Assicurati che CloudWatch agli allarmi sia configurata un'azione per lo stato ALARMDATA, INSUFFICIENT _ o OK. Facoltativamente, assicurati che tutte le azioni corrispondano a un nome. ARN La regola è NON _ COMPLIANT se non è stata specificata alcuna azione per l'allarme o il parametro opzionale.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-resource-check

Assicurati che un tipo di risorsa abbia un CloudWatch allarme per la metrica indicata. Per il tipo di risorsa, puoi specificare EBS volumi, EC2 istanze, RDS cluster Amazon o bucket S3. La regola è COMPLIANT se la metrica indicata ha un ID di risorsa e un allarme. CloudWatch
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

cloudwatch-alarm-settings-check

Assicurati che gli CloudWatch allarmi con il nome della metrica specificato abbiano le impostazioni specificate.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

wafv2- rulegroup-logging-enabled

Assicurati che la raccolta CloudWatch dei parametri di sicurezza di Amazon sui gruppi di AWS WAFv2 regole sia abilitata. La regola è NON _ COMPLIANT se '. VisibilityConfig CloudWatchMetricsEnabled'field è impostato su false.
A3.5.1 Gli eventi sospetti vengono identificati e risolti. (PCI- DSS -v4.0)

sns-topic-message-delivery-abilitato alla notifica

Assicurati che la registrazione di Amazon Simple Notification Service (SNS) sia abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento per gli endpoint. La regola è NON _ COMPLIANT se la notifica dello stato di consegna dei messaggi non è abilitata.

Modello

Il modello è disponibile su GitHub: Operational Best Practices for PCI DSS 4.0 (compresi i tipi di risorse globali).