Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# NIST SP 800-53 Revisione 5 nel Security Hub CSPM
La pubblicazione speciale NIST 800-53 Revisione 5 (NIST SP 800-53 Rev. 5) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce un catalogo di requisiti di sicurezza e privacy per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. Le agenzie e gli appaltatori del governo federale degli Stati Uniti devono rispettare questi requisiti per proteggere i propri sistemi e le proprie organizzazioni. Le organizzazioni private possono inoltre utilizzare volontariamente i requisiti come quadro guida per ridurre i rischi di sicurezza informatica. *Per ulteriori informazioni sul framework e sui relativi requisiti, vedere [NIST SP 800-53 Rev. 5 nel NIST Computer Security Resource Center.](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)*
AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-53 Revisione 5. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-53 Revision 5 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-53 Revisione 5 che richiedono controlli manuali.
A differenza di altri framework, il framework NIST SP 800-53 Revision 5 non è prescrittivo su come valutare i suoi requisiti. Invece, il framework fornisce delle linee guida. In Security Hub CSPM, lo standard e i controlli NIST SP 800-53 Revision 5 rappresentano la comprensione da parte del servizio di queste linee guida.
**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-53-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-53-controls)
## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-53 Revisione 5 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. Questo è principalmente per i controlli che hanno un tipo di pianificazione *innescato dalla modifica*. Tuttavia, alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Se la registrazione delle risorse non è abilitata o configurata correttamente, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.
Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *
La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-53 Revision 5 in Security Hub CSPM.
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Determinare quali controlli si applicano allo standard
L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-53 Revisione 5 e si applicano allo standard NIST SP 800-53 Revisione 5 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)
+ [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)
+ [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6)
+ [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7)
+ [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8)
+ [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9)
+ [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10)
+ [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11)
+ [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12)
+ [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1)
+ [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)
+ [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3)
+ [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4)
+ [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)
+ [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)
+ [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12)
+ [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)
+ [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15)
+ [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
+ [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
+ [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
+ [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20)
+ [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24)
+ [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25)
+ [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28)
+ [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1)
+ [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2)
+ [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3)
+ [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1)
+ [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2)
+ [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3)
+ [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4)
+ [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5)
+ [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8)
+ [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9)
+ [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2)
+ [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3)
+ [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4)
+ [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6)
+ [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1)
+ [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)
+ [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3)
+ [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)
+ [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)
+ [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5)
+ [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6)
+ [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7)
+ [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12)
+ [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14)
+ [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17)
+ [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)
+ [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2)
+ [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3)
+ [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4)
+ [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1)
+ [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)
+ [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3)
+ [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4)
+ [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5)
+ [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6)
+ [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7)
+ [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)
+ [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2)
+ [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
+ [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
+ [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
+ [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
+ [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
+ [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3)
+ [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)
+ [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)
+ [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)
+ [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)
+ [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2)
+ [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1)
+ [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2)
+ [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3)
+ [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5)
+ [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6)
+ [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1)
+ [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3)
+ [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4)
+ [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5)
+ [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6)
+ [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7)
+ [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8)
+ [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10)
+ [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1)
+ [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2)
+ [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3)
+ [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4)
+ [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5)
+ [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6)
+ [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8)
+ [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10)
+ [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11)
+ [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1)
+ [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1)
+ [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)
+ [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4)
+ [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)
+ [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6)
+ [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7)
+ [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8)
+ [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10)
+ [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11)
+ [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12)
+ [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)
+ [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14)
+ [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)
+ [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16)
+ [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17)
+ [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19)
+ [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)
+ [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21)
+ [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22)
+ [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23)
+ [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24)
+ [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25)
+ [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26)
+ [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27)
+ [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35)
+ [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45)
+ [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)
+ [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2)
+ [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3)
+ [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6)
+ [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7)
+ [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8)
+ [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
+ [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)
+ [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2)
+ [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3)
+ [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
+ [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
+ [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7)
+ [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)
+ [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
+ [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10)
+ [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)
+ [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12)
+ [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13)
+ [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)
+ [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15)
+ [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19)
+ [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)
+ [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1)
+ [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
+ [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4)
+ [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2)
+ [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3)
+ [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
+ [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2)
+ [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3)
+ [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4)
+ [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
+ [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
+ [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10)
+ [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11)
+ [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)