Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Standard di best practice di sicurezza di base in Security Hub CSPM
Sviluppato da AWS professionisti del settore, lo standard AWS Foundational Security Best Practices (FSBP) è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni dell'organizzazione. Fornisce una serie di controlli che rilevano quando Account AWS e le risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza dell'organizzazione.
In AWS Security Hub CSPM, lo standard AWS Foundational Security Best Practices include controlli che valutano continuamente i tuoi carichi di lavoro Account AWS e ti aiutano a identificare le aree che si discostano dalle migliori pratiche di sicurezza. I controlli includono le migliori pratiche di sicurezza per risorse provenienti da più fonti. Servizi AWS A ogni controllo viene assegnata una categoria che riflette la funzione di sicurezza a cui si applica il controllo. Per un elenco di categorie e dettagli aggiuntivi, vedere[Categorie di controllo](control-categories.md).
## Controlli che si applicano allo standard
L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Foundational Security Best Practices (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.
[[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
[[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
[[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2)
[[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1)
[[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
[[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3)
[[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4)
[[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5)
[[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8)
[[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9)
[[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10)
[[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1)
[[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2)
[[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5)
[[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6)
[[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4)
[[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1)
[[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2)
[[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5)
[[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6)
[[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9)
[[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1)
[[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3)
[[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4)
[[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
[[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
[[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
[[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
[[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
[[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
[[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
[[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
[[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13)
[[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15)
[[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16)
[[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17)
[[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)
[[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3)
[[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4)
[[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7)
[[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2)
[[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3)
[[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4)
[[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5)
[[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6)
[[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)
[[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2)
[[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1)
[[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1)
[[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)
[[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6)
[[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7)
[[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8)
[[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9)
[[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10)
[[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11)
[[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12)
[[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13)
[[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1)
[[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4)
[[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5)
[[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6)
[[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1)
[[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2)
[[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3)
[[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6)
[[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7)
[[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1)
[[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)
[[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3)
[[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4)
[[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)
[[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)
[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9)
[[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
[[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15)
[[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
[[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17)
[[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
[[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
[[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20)
[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
[[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23)
[[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24)
[[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25)
[[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)
[[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)
[[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)
[[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)
[[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)
[[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)
[[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170)
[[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171)
[[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172)
[[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173)
[[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180)
[[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181)
[[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182)
[[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1)
[[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2)
[[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3)
[[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1)
[[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2)
[[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3)
[[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4)
[[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5)
[[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8)
[[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9)
[[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)
[[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12)
[[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16)
[[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18)
[[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19)
[[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20)
[[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21)
[[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)
[[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2)
[[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3)
[[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4)
[[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6)
[[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7)
[[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8)
[[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1)
[[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)
[[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3)
[[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)
[I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1)
[[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2)
[[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3)
[[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4)
[[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6)
[[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7)
[[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1)
[[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1)
[[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
[[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
[[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)
[[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5)
[[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6)
[[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7)
[[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
[[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9)
[[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10)
[[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12)
[[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13)
[[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14)
[[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17)
[[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18)
[[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21)
[[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22)
[[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)
[[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2)
[[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3)
[[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4)
[[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1)
[[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)
[[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3)
[[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4)
[[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5)
[[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6)
[[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7)
[[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)
[[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3)
[[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1)
[[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2)
[[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3)
[[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4)
[[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5)
[[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3)
[[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4)
[[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
[[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5)
[[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7)
[[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8)
[[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9)
[[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10)
[[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11)
[[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12)
[[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13)
[[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
[[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
[[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
[[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
[[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
[[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
[[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1)
[[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2)
[[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3)
[[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4)
[[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1)
[[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3)
[[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
[[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
[[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3)
[[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5)
[[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)
[[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)
[[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5)
[[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)
[[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2)
[[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2)
[[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3)
[[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1)
[[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3)
[[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4)
[[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5)
[[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6)
[[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1)
[[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2)
[[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3)
[[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4)
[[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5)
[[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6)
[[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7)
[[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8)
[[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
[[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
[[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4)
[[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
[[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
[[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9)
[[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10)
[I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1)
[I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2)
[I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3)
[La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4)
[I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5)
[I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6)
[I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7)
[[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8)
[Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10)
[L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1)
[[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
[[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1)
[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)
[[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4)
[[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)
[[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6)
[[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7)
[[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8)
[[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)
[[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10)
[[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11)
[[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12)
[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)
[[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14)
[[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)
[[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16)
[[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17)
[[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19)
[[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)
[[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21)
[[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22)
[[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23)
[[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24)
[[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25)
[[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27)
[[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34)
[[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35)
[[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36)
[[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37)
[[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40)
[[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41)
[[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42)
[[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43)
[[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44)
[[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45)
[[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46)
[[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47)
[[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48)
[[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50)
[[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)
[[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2)
[[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3)
[[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4)
[[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6)
[[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7)
[[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8)
[[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10)
[[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15)
[[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18)
[[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1)
[[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2)
[[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3)
[[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5)
[[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)
[[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2)
[[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3)
[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
[[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)
[[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
[[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12)
[[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13)
[[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19)
[[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24)
[[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25)
[[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)
[[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2)
[[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3)
[[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4)
[[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5)
[[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8)
[[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9)
[[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10)
[[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11)
[[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12)
[[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13)
[[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14)
[[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15)
[[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
[[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4)
[[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1)
[[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3)
[[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4)
[[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1)
[[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3)
[[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
[[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)
[[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4)
[[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6)
[[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7)
[[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2)
[[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3)
[[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
[[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2)
[[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3)
[[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4)
[[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
[[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
[[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)
[[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10)
[Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)
[[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1)
[[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2)