Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Disabilitazione dei controlli in Security Hub CSPM
<a name="disable-controls-overview"></a>

Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. In AWS Security Hub CSPM, puoi disabilitare un controllo su tutti gli standard di sicurezza o solo per standard specifici. 

Se si disabilita un controllo per tutti gli standard, si verifica quanto segue:
+ I controlli di sicurezza per il controllo non vengono più eseguiti.
+ Non vengono generati risultati aggiuntivi per il controllo.
+ I risultati esistenti non vengono più aggiornati per il controllo.
+ I risultati esistenti per il controllo vengono archiviati automaticamente, in genere entro 3-5 giorni con la massima diligenza possibile.
+ Security Hub CSPM rimuove tutte AWS Config le regole correlate che ha creato per il controllo.

Se disabiliti un controllo solo per standard specifici, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza per il controllo solo per quegli standard. Ciò rimuove anche il controllo dai [calcoli del punteggio di sicurezza](standards-security-score.md) per ciascuno di questi standard. Se il controllo è abilitato in altri standard, Security Hub CSPM mantiene la AWS Config regola associata, se applicabile, e continua a eseguire i controlli di sicurezza per il controllo per gli altri standard. Security Hub CSPM include anche il controllo quando calcola il punteggio di sicurezza per ciascuno degli altri standard, il che influisce sul punteggio di sicurezza riepilogativo.

Se si disabilita uno standard, tutti i controlli che si applicano allo standard vengono disattivati automaticamente per quello standard. Tuttavia, i controlli potrebbero continuare a essere abilitati in altri standard. Quando disabiliti uno standard, Security Hub CSPM non tiene traccia dei controlli disabilitati per lo standard. Di conseguenza, se successivamente riattivi lo stesso standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Per informazioni sulla disabilitazione di uno standard, vedere. [Disabilitazione di uno standard](disable-standards.md)

La disabilitazione di un controllo non è un'azione permanente. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard che include il controllo. Il controllo viene quindi abilitato per quello standard. Quando abiliti uno standard in Security Hub CSPM, tutti i controlli che si applicano allo standard vengono abilitati automaticamente. Per informazioni sull'attivazione di uno standard, vedere. [Abilitazione di uno standard](enable-standards.md)

**Topics**
+ [Disattivazione di un controllo tra gli standard](disable-controls-across-standards.md)
+ [Disattivazione di un controllo in uno standard specifico](disable-controls-standard.md)
+ [Controlli consigliati da disabilitare](controls-to-disable.md)

# Disattivazione di un controllo tra gli standard
<a name="disable-controls-across-standards"></a>

Ti consigliamo di disabilitare un controllo CSPM AWS di Security Hub tra gli standard per mantenere l'allineamento in tutta l'organizzazione. Se disabiliti un controllo solo in standard specifici, continuerai a ricevere i risultati relativi al controllo se è abilitato in altri standard.

## Disattivazione di più standard in più account e regioni
<a name="disable-controls-all-standards-central-configuration"></a>

[Per disabilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario utilizzare la configurazione centrale.](central-configuration-intro.md)

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che disabilitano i controlli specifici tra gli standard abilitati. È quindi possibile associare la politica di configurazione a account specifici o alla directory OUs principale. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di disabilitare tutti i AWS CloudTrail controlli in un'unità organizzativa e puoi scegliere di disabilitare tutti i controlli IAM in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che disabiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Nota**  
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower 

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

## Disattivazione di più standard in un unico account e regione
<a name="disable-controls-all-standards"></a>

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente i controlli in più account e regioni. Tuttavia, puoi disabilitare un controllo in un unico account e in una sola regione.

------
#### [ Security Hub CSPM console ]

**Per disabilitare un controllo tra più standard in un account e in una regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Controlli** dal pannello di navigazione.

1. Scegli l'opzione accanto a un controllo.

1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.

1. Seleziona un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.

1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.

------
#### [ Security Hub CSPM API ]

**Per disabilitare un controllo su più standard in un account e in una regione**

1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.

1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Ripetere l'operazione in ogni regione in cui si desidera disattivare il controllo.

------
#### [ AWS CLI ]

**Per disabilitare un controllo su più standard in un account e in una regione**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.

1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.

------

# Disattivazione di un controllo in uno standard specifico
<a name="disable-controls-standard"></a>

È possibile disabilitare un controllo solo in standard di sicurezza specifici, anziché in tutti gli standard. Se il controllo si applica ad altri standard abilitati, AWS Security Hub CSPM continua a eseguire i controlli di sicurezza per il controllo e tu continui a ricevere i risultati per il controllo.

Consigliamo di allineare lo stato di abilitazione di un controllo a tutti gli standard abilitati a cui si applica il controllo. Per informazioni sulla disabilitazione di un controllo per tutti gli standard a cui si applica, consulta. [Disattivazione di un controllo tra gli standard](disable-controls-across-standards.md)

Nella pagina dei dettagli degli standard, puoi anche disabilitare i controlli di standard specifici. È necessario disabilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si disabilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.

Scegli il tuo metodo preferito e segui questi passaggi per disabilitare un controllo in uno o più standard specifici.

------
#### [ Security Hub CSPM console ]

**Per disabilitare un controllo in uno standard specifico**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Standard di sicurezza** dal pannello di navigazione. Scegli **Visualizza risultati** per lo standard pertinente.

1. Seleziona un controllo.

1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.

1. Fornisci un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.

------
#### [ Security Hub CSPM API ]

**Per disabilitare un controllo in uno standard specifico**

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   **Richiesta di esempio:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Per disabilitare un controllo in uno standard specifico**

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Controlli consigliati da disabilitare in Security Hub CSPM
<a name="controls-to-disable"></a>

Ti consigliamo di disabilitare alcuni controlli CSPM AWS di Security Hub per ridurre il rumore di ricerca e i costi di utilizzo.

## Controlli che utilizzano risorse globali
<a name="controls-to-disable-global-resources"></a>

Alcuni Servizi AWS supportano risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sui costi di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub CSPM continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub CSPM, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.

Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:
+ **Tutti i CloudFront controlli**: disponibili solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **GlobalAccelerator.1** — Disponibile solo nella regione Stati Uniti occidentali (Oregon)
+ **Route53.2** — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **WAF.1, WAF.6, WAF.7, WAF.8 — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale**)

**Nota**  
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.  
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.  
Per ulteriori informazioni sulla configurazione centrale, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Per i controlli che hanno un tipo di pianificazione *periodica*, è necessario disabilitarli in Security Hub CSPM per impedire la fatturazione. L'impostazione del AWS Config parametro `includeGlobalResourceTypes` su `false` non influisce sui controlli periodici CSPM di Security Hub.

I seguenti controlli CSPM di Security Hub utilizzano risorse globali:
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
+ [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
+ [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
+ [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24)
+ [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25)
+ [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)
+ [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
+ [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
+ [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
+ [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
+ [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
+ [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
+ [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)

## CloudTrail controlli di registrazione
<a name="controls-to-disable-cloudtrail-logging"></a>

Il controllo [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) valuta l'uso di AWS Key Management Service (AWS KMS) per AWS CloudTrail crittografare i log delle tracce. Se si registrano questi percorsi in un account di registrazione centralizzato, è necessario abilitare questo controllo solo nell'account e Regione AWS dove avviene la registrazione centralizzata.

Se si utilizza la [configurazione centrale](central-configuration-intro.md), lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, puoi sopprimere i risultati del controllo CloudTrail .2 per ridurre il rumore di ricerca.

## CloudWatch controlli di allarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare i seguenti controlli, che si concentrano sugli CloudWatch allarmi:
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)