Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Limiti regionali sui controlli CSPM di Security Hub
<a name="regions-controls"></a>

Alcuni controlli CSPM di AWS Security Hub non sono disponibili in tutti. Regioni AWS Questa pagina specifica quali controlli non sono disponibili in regioni specifiche.

Nella console CSPM di Security Hub, un controllo non viene visualizzato nell'elenco dei controlli se non è disponibile nella regione a cui hai attualmente effettuato l'accesso. L'eccezione è una regione di aggregazione. Se imposti una regione di aggregazione e accedi a quella regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più aree collegate.

**Topics**
+ [

## Stati Uniti orientali (Virginia settentrionale)
](#securityhub-control-support-useast1)
+ [

## Stati Uniti orientali (Ohio)
](#securityhub-control-support-useast2)
+ [

## Stati Uniti occidentali (California settentrionale)
](#securityhub-control-support-uswest1)
+ [

## Stati Uniti occidentali (Oregon)
](#securityhub-control-support-uswest2)
+ [

## Africa (Città del Capo)
](#securityhub-control-support-afsouth1)
+ [

## Asia Pacifico (Hong Kong)
](#securityhub-control-support-apeast1)
+ [

## Asia Pacifico (Hyderabad)
](#securityhub-control-support-apsouth2)
+ [

## Asia Pacifico (Giacarta)
](#securityhub-control-support-apsoutheast3)
+ [

## Asia Pacifico (Malesia)
](#securityhub-control-support-apsoutheast5)
+ [

## Asia Pacifico (Melbourne)
](#securityhub-control-support-apsoutheast4)
+ [

## Asia Pacifico (Mumbai)
](#securityhub-control-support-apsouth1)
+ [

## Asia Pacifico (Nuova Zelanda)
](#securityhub-control-support-apsoutheast6)
+ [

## Asia Pacifico (Osaka)
](#securityhub-control-support-apnortheast3)
+ [

## Asia Pacifico (Seul)
](#securityhub-control-support-apnortheast2)
+ [

## Asia Pacifico (Singapore)
](#securityhub-control-support-apsoutheast1)
+ [

## Asia Pacifico (Sydney)
](#securityhub-control-support-apsoutheast2)
+ [

## Asia Pacifico (Taipei)
](#securityhub-control-support-apeast2)
+ [

## Asia Pacifico (Thailandia)
](#securityhub-control-support-apsoutheast7)
+ [

## Asia Pacifico (Tokyo)
](#securityhub-control-support-apnortheast1)
+ [

## Canada (Centrale)
](#securityhub-control-support-cacentral1)
+ [

## Canada occidentale (Calgary)
](#securityhub-control-support-cawest1)
+ [

## Cina (Pechino)
](#securityhub-control-support-cnnorth1)
+ [

## Cina (Ningxia)
](#securityhub-control-support-cnnorthwest1)
+ [

## Europa (Francoforte)
](#securityhub-control-support-eucentral1)
+ [

## Europa (Irlanda)
](#securityhub-control-support-euwest1)
+ [

## Europa (Londra)
](#securityhub-control-support-euwest2)
+ [

## Europa (Milano)
](#securityhub-control-support-eusouth1)
+ [

## Europa (Parigi)
](#securityhub-control-support-euwest3)
+ [

## Europa (Spagna)
](#securityhub-control-support-eusouth2)
+ [

## Europa (Stoccolma)
](#securityhub-control-support-eunorth1)
+ [

## Europa (Zurigo)
](#securityhub-control-support-eucentral2)
+ [

## Israele (Tel Aviv)
](#securityhub-control-support-ilcentral1)
+ [

## Messico (centrale)
](#securityhub-control-support-mxcentral1)
+ [

## Medio Oriente (Bahrein)
](#securityhub-control-support-mesouth1)
+ [

## Medio Oriente (Emirati Arabi Uniti)
](#securityhub-control-support-mecentral1)
+ [

## Sud America (San Paolo)
](#securityhub-control-support-saeast1)
+ [

## AWS GovCloud (Stati Uniti orientali)
](#securityhub-control-support-usgoveast1)
+ [

## AWS GovCloud (Stati Uniti occidentali)
](#securityhub-control-support-usgovwest1)

## Stati Uniti orientali (Virginia settentrionale)
<a name="securityhub-control-support-useast1"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Virginia settentrionale).
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 

## Stati Uniti orientali (Ohio)
<a name="securityhub-control-support-useast2"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Ohio).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Stati Uniti occidentali (California settentrionale)
<a name="securityhub-control-support-uswest1"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (California settentrionale).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Stati Uniti occidentali (Oregon)
<a name="securityhub-control-support-uswest2"></a>

I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (Oregon).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Africa (Città del Capo)
<a name="securityhub-control-support-afsouth1"></a>

I seguenti controlli non sono supportati nella regione Africa (Città del Capo).
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Hong Kong)
<a name="securityhub-control-support-apeast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Hong Kong).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Hyderabad)
<a name="securityhub-control-support-apsouth2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Hyderabad).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Giacarta)
<a name="securityhub-control-support-apsoutheast3"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Giacarta).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Malesia)
<a name="securityhub-control-support-apsoutheast5"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Malesia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Melbourne)
<a name="securityhub-control-support-apsoutheast4"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Melbourne).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Mumbai)
<a name="securityhub-control-support-apsouth1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Mumbai).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Nuova Zelanda)
<a name="securityhub-control-support-apsoutheast6"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Nuova Zelanda).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Osaka)
<a name="securityhub-control-support-apnortheast3"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Osaka).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Seul)
<a name="securityhub-control-support-apnortheast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Seoul).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Singapore)
<a name="securityhub-control-support-apsoutheast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Singapore).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Sydney)
<a name="securityhub-control-support-apsoutheast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Sydney).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Asia Pacifico (Taipei)
<a name="securityhub-control-support-apeast2"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Taipei).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[ACM.3] I certificati ACM devono essere etichettati](acm-controls.md#acm-3) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati](autoscaling-controls.md#autoscaling-10) 
+  [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [I AWS Backup vault [Backup.3] devono essere etichettati](backup-controls.md#backup-3) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Backup.5] i piani di AWS Backup backup devono essere etichettati](backup-controls.md#backup-5) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.2] CloudFormation gli stack devono essere etichettati](cloudformation-controls.md#cloudformation-2) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.9] i percorsi devono essere etichettati CloudTrail](cloudtrail-controls.md#cloudtrail-9) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate](dynamodb-controls.md#dynamodb-5) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-33) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.35] Le interfacce di rete EC2 devono essere etichettate](ec2-controls.md#ec2-35) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati](ec2-controls.md#ec2-37) 
+  [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38) 
+  [[EC2.39] I gateway Internet EC2 devono essere etichettati](ec2-controls.md#ec2-39) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.41] La rete EC2 deve essere etichettata ACLs](ec2-controls.md#ec2-41) 
+  [[EC2.42] Le tabelle di routing EC2 devono essere etichettate](ec2-controls.md#ec2-42) 
+  [[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati](ec2-controls.md#ec2-43) 
+  [[EC2.44] Le sottoreti EC2 devono essere etichettate](ec2-controls.md#ec2-44) 
+  [[EC2.45] I volumi EC2 devono essere etichettati](ec2-controls.md#ec2-45) 
+  [[EC2.46] Amazon VPCs dovrebbe essere taggato](ec2-controls.md#ec2-46) 
+  [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47) 
+  [[EC2.48] I log di flusso di Amazon VPC devono essere etichettati](ec2-controls.md#ec2-48) 
+  [[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate](ec2-controls.md#ec2-49) 
+  [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 
+  [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.13] I servizi ECS devono essere etichettati](ecs-controls.md#ecs-13) 
+  [[ECS.14] I cluster ECS devono essere etichettati](ecs-controls.md#ecs-14) 
+  [[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate](ecs-controls.md#ecs-15) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.5] I punti di accesso EFS devono essere etichettati](efs-controls.md#efs-5) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.6] I cluster EKS devono essere etichettati](eks-controls.md#eks-6) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 
+  [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 
+  [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 
+  [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 
+  [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 
+  [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati](eventbridge-controls.md#eventbridge-2) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.2] Gli stream Kinesis devono essere etichettati](kinesis-controls.md#kinesis-2) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati](networkfirewall-controls.md#networkfirewall-7) 
+  [[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate](networkfirewall-controls.md#networkfirewall-8) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 
+  [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 
+  [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 
+  [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28) 
+  [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29) 
+  [[RDS.30] Le istanze DB RDS devono essere etichettate](rds-controls.md#rds-30) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.32] Gli snapshot RDS DB devono essere etichettati](rds-controls.md#rds-32) 
+  [[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati](rds-controls.md#rds-33) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate](redshift-controls.md#redshift-12) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-14) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 
+  [[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati](secretsmanager-controls.md#secretsmanager-5) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.3] Gli argomenti SNS devono essere etichettati](sns-controls.md#sns-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Thailandia)
<a name="securityhub-control-support-apsoutheast7"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Tailandia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2) 
+  [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Asia Pacifico (Tokyo)
<a name="securityhub-control-support-apnortheast1"></a>

I seguenti controlli non sono supportati nella regione Asia Pacifico (Tokyo).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Canada (Centrale)
<a name="securityhub-control-support-cacentral1"></a>

I seguenti controlli non sono supportati nella regione Canada (Centrale).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Canada occidentale (Calgary)
<a name="securityhub-control-support-cawest1"></a>

I seguenti controlli non sono supportati nella regione Canada occidentale (Calgary).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Cina (Pechino)
<a name="securityhub-control-support-cnnorth1"></a>

I seguenti controlli non sono supportati nella regione Cina (Pechino).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 
+  [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Cina (Ningxia)
<a name="securityhub-control-support-cnnorthwest1"></a>

I seguenti controlli non sono supportati nella regione Cina (Ningxia).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36) 
+  [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3) 
+  [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Francoforte)
<a name="securityhub-control-support-eucentral1"></a>

I seguenti controlli non sono supportati nella regione Europa (Francoforte).
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Irlanda)
<a name="securityhub-control-support-euwest1"></a>

I seguenti controlli non sono supportati nella regione Europa (Irlanda).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Londra)
<a name="securityhub-control-support-euwest2"></a>

I seguenti controlli non sono supportati nella regione Europa (Londra).
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## Europa (Milano)
<a name="securityhub-control-support-eusouth1"></a>

I seguenti controlli non sono supportati nella regione Europa (Milano).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Parigi)
<a name="securityhub-control-support-euwest3"></a>

I seguenti controlli non sono supportati nella regione Europa (Parigi).
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Spagna)
<a name="securityhub-control-support-eusouth2"></a>

I seguenti controlli non sono supportati nella regione Europa (Spagna).
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Stoccolma)
<a name="securityhub-control-support-eunorth1"></a>

I seguenti controlli non sono supportati nella regione Europa (Stoccolma).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Europa (Zurigo)
<a name="securityhub-control-support-eucentral2"></a>

I seguenti controlli non sono supportati nella regione Europa (Zurigo).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Israele (Tel Aviv)
<a name="securityhub-control-support-ilcentral1"></a>

I seguenti controlli non sono supportati nella regione di Israele (Tel Aviv).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Messico (centrale)
<a name="securityhub-control-support-mxcentral1"></a>

I seguenti controlli non sono supportati nella regione Messico (Centrale).
+  [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34) 
+  [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53) 
+  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54) 
+  [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55) 
+  [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56) 
+  [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 
+  [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 
+  [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 
+  [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 
+  [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 
+  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 
+  [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 
+  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 
+  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 
+  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 
+  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 
+  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 
+  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 
+  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4) 
+  [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5) 
+  [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 
+  [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 
+  [[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito](rds-controls.md#rds-38) 
+  [[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito](rds-controls.md#rds-39) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 
+  [[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità](redshift-controls.md#redshift-16) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22) 
+  [[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Medio Oriente (Bahrein)
<a name="securityhub-control-support-mesouth1"></a>

I seguenti controlli non sono supportati nella regione Medio Oriente (Bahrein).
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 
+  [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 
+  [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4) 
+  [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Medio Oriente (Emirati Arabi Uniti)
<a name="securityhub-control-support-mecentral1"></a>

I seguenti controlli non sono supportati nella regione del Medio Oriente (Emirati Arabi Uniti).
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 
+  [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3) 
+  [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4) 
+  [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 
+  [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27) 
+  [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 
+  [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## Sud America (San Paolo)
<a name="securityhub-control-support-saeast1"></a>

I seguenti controlli non sono supportati nella regione Sud America (San Paolo).
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) 
+  [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2) 
+  [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

## AWS GovCloud (Stati Uniti orientali)
<a name="securityhub-control-support-usgoveast1"></a>

I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti orientali).
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47) 
+  [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1) 
+  [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 
+  [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 
+  [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

## AWS GovCloud (Stati Uniti occidentali)
<a name="securityhub-control-support-usgovwest1"></a>

I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti occidentali).
+  [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 
+  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 
+  [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2) 
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 
+  [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1) 
+  [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2) 
+  [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1) 
+  [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2) 
+  [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3) 
+  [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4) 
+  [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1) 
+  [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1) 
+  [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2) 
+  [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 
+  [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 
+  [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4) 
+  [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1) 
+  [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2) 
+  [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3) 
+  [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 
+  [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14) 
+  [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 
+  [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 
+  [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1) 
+  [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1) 
+  [[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard](cognito-controls.md#cognito-1) 
+  [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 
+  [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 
+  [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 
+  [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 
+  [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1) 
+  [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2) 
+  [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38) 
+  [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58) 
+  [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60) 
+  [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 
+  [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 
+  [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174) 
+  [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175) 
+  [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176) 
+  [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177) 
+  [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178) 
+  [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179) 
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 
+  [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1) 
+  [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2) 
+  [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3) 
+  [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1) 
+  [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 
+  [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 
+  [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 
+  [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 
+  [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 
+  [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24) 
+  [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25) 
+  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28) 
+  [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 
+  [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1) 
+  [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2) 
+  [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3) 
+  [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1) 
+  [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2) 
+  [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3) 
+  [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4) 
+  [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5) 
+  [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1) 
+  [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2) 
+  [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3) 
+  [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4) 
+  [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1) 
+  [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2) 
+  [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3) 
+  [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1) 
+  [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2) 
+  [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3) 
+  [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 
+  [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 
+  [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 
+  [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11) 
+  [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13) 
+  [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17) 
+  [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 
+  [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 
+  [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 
+  [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 
+  [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1) 
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 
+  [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 
+  [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6) 
+  [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7) 
+  [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 
+  [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 
+  [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 
+  [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 
+  [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 
+  [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 
+  [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 
+  [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 
+  [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 
+  [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5) 
+  [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 
+  [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2) 
+  [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4) 
+  [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5) 
+  [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6) 
+  [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)